Μια νέα στοχευμένη εκστρατεία phishing εντοπίστηκε από ερευνητές ασφάλειας να απευθύνεται σε επαγγελματίες ασφάλειας υψηλού επιπέδου σε τεχνολογικές εταιρείες, όπως σε CTOs.
Δεδομένου ότι η προθεσμία για την υποβολή φορολογικώ δηλώσεων στις ΗΠΑ πλησιάζει (καθορισμένη προθεσμία είναι στις 15 Απριλίου), δεν αποτελεί καμία έκπληξη το γεγονός ότι οι κυβερνοεγκληματίες επέλεξαν αυτό το θέμα για να προσελκύσουν θύματα να κατεβάσουν κακόβουλο λογισμικό.
Ερευνητές στην Talos, την ομάδα έρευνας και ασφάλειας πληροφοριών της Cisco, παρατήρησε την Τρίτη την ανάπτυξη της κακόβουλης εκστρατείας, η οποία παρέδιδε emails με θέματα που σχετίζονται με διαφορετικά στοιχεία πληρωμής και ομοσπονδιακούς φόρους.
Τα μηνύματα περιείχαν ένα κακόβουλο συνημμένο που εμφανίζεται ως έγγραφο του Word με μια μακροεντολή (σενάριο που χρησιμοποιείται για την αυτοματοποίηση επαναλαμβανόμενων εργασιών) και φέρει οδηγίες για να κατεβάσουν οι χρήστες dropper κακόβουλου λογισμικού που διοχετεύει το τραπεζικό Vawtrak Trojan.
Σύμφωνα με τους ερευνητές, τόσο τα μηνύματα όσο και το κακόβουλο αρχείο του Word είναι ενημερώνονται συνεχώς καθώς διαφορετικές εκδόσεις καταγράφηκαν την Τετάρτη.
Στο πρώτο κύμα της επίθεσης, η διεύθυνση του αποστολέα ήταν πλαστογραφημένη ώστε να φαίνεται από support@gov.com ή support@link2.gov, ενημερώνοντας ότι η φορολογική πληρωμή έγινε αποδεκτή. Η νεότερη εκδοχή περιείχε διαφορετικές διευθύνσεις αποστολέα και ενημέρωνε ότι τα φορολογικά στοιχεία δεν ελήφθησαν.
Στο μήνυμα περιλαμβάνονταν επίσης στοιχεία σχετικά με ένα μεγάλο χρηματικό ποσό, πιθανώς σε μια προσπάθεια να δοθούν κίνητρα στον παραλήπτη να ανοίξει το κακόβουλο έγγραφο. Και τα δύο δείγματα ανέφεραν ότι η απόδειξη θα ήταν διαθέσιμη με την εκτύπωση του συνημμένου αρχείου.
Ανάλογα με τον πεδίο δραστηριότητας μιας επιχείρησης, οι επαγγελματίες τεχνολογίας, οι Chief Technology Officers (CTOs) ειδικότερα, γνωρίζουν καλά τους κινδύνους και έρχεται ως έκπληξη το γεγονός ότι αυτοί στοχοποιήθηκαν στην τρέχουσα εκστρατεία phishing.
Οι ερευνητές ανέλυσαν την έκδοση του Vawtrak που διανεμήθηκε με αυτόν τον τρόπο και προσδιόρισαν ότι έχει την ικανότητα να καταγράψει τα διαπιστευτήρια του χρήστη για περισσότερες από 100 online υπηρεσίες, περισσότερες από τις οποίες ανήκουν σε χρηματοπιστωτικά ιδρύματα. Ωστόσο, «ο κατάλογος δεν περιλαμβάνει ορισμένους πάροχους κινητής τηλεφωνίας και άλλες ιστοσελίδες online λιανικής πώλησης.”
Έχει παρατηρηθεί αύξηση της κατανομής του Vawtrak τον τελευταίο καιρό. Οι ερευνητές ασφάλειας της Trend Micro πρόσφατα εντόπισαν μια διαφορετική καμπάνια phishing που διανέμει αυτό το κακόβουλο λογισμικό μέσω μακροεντολών σε έγγραφα του Word.
