Infostealer phishingcampagnes gericht op Polen, Roemenië en Italië
ESET -onderzoekers hebben negen wijdverspreide phishingcampagnes onderzocht, gericht op kleine en middelgrote bedrijven (mkb's) in Polen, Roemenië en Italië gedurende mei 2024, waarbij verschillende malwarefamilies werden verspreid. In vergelijking met het voorgaande jaar zijn de aanvallers in de regio overgestapt van AceCryptor naar ModiLoader als hun favoriete digitale wapen en hebben ze ook meer malware toegevoegd.
Aanvallers gebruikten eerder gecompromitteerde e-mailaccounts en bedrijfsservers om niet alleen kwaadaardige e-mails te verspreiden, maar ook om malware te hosten en gestolen gegevens te verzamelen. In mei 2024 alleen al beschermden ESET-producten meer dan 26.000 gebruikers – waarvan meer dan 21.000 (80%) in Polen – tegen deze dreiging.
“In totaal registreerden we negen phishingcampagnes, waarvan er zeven in mei op Polen waren gericht,” zegt Jakub Kaloč, die de phishingcampagnes analyseerde. “De uiteindelijke payload die op de gecompromitteerde machines werd afgeleverd en gestart varieerde; we hebben campagnes gedetecteerd die de informatie stelende Formbook afleverden; de remote access trojan en informatie stealer Agent Tesla; en Rescoms RAT, software voor afstandsbediening en bewaking die gevoelige informatie kan stelen,” voegt hij toe.
Over het algemeen volgden alle campagnes een vergelijkbaar scenario. Het doelbedrijf ontving een e-mailbericht met een zakelijk aanbod. Net als bij de phishingcampagnes van de tweede helft van 2023 deden de aanvallers zich voor als bestaande bedrijven en hun werknemers als techniek om hun campagneresultaat te vergroten. Op deze manier, zelfs als het potentiële slachtoffer op zoek ging naar de gebruikelijke rode vlaggen, waren deze er gewoon niet, en zag de e-mail er zo legitiem mogelijk uit.
Cryptowallets
Infostealers zijn ook in Nederland een bedreiging zoals eerder is gezien tijdens de grootschalige politieoperatie: Operation Cookiemonster. Hier werd bijvoorbeeld een 71-jarig slachtoffer getroffen en verdween er bijna 70.000 euro van zijn beleggingsrekening. Daarnaast zijn er ook ernstige gevallen waarin hele beleggingsportefeuilles worden leeggehaald of complete bankrekeningen en cryptowallets worden geplunderd. Dit leidt tot een verlies van controle over het hele online leven van de slachtoffers.
E-mails van alle campagnes bevatten een kwaadaardige bijlage die het potentiële slachtoffer werd aangemoedigd te openen, op basis van de tekst van de e-mail. Het bestand zelf was ofwel een ISO-bestand of een archief met het ModiLoader-uitvoerbare bestand. ModiLoader is een Delphi-downloader met een eenvoudige taak – het downloaden en starten van malware. In twee van de campagnes waren ModiLoader-samples geconfigureerd om de volgende fase malware te downloaden van een gecompromitteerde server die toebehoorde aan een Hongaars bedrijf. In de rest van de campagnes downloadde ModiLoader de volgende fase van Microsoft's OneDrive cloudopslag.
Voor meer informatie over de ModiLoader-campagnes, lees de blogpost “Phishing targeting Polish SMBs continues via ModiLoader ” op WeLiveSecurity-com. Zorg ervoor dat je ESET Research volgt op Twitter (tegenwoordig bekend als X) voor het laatste nieuws van ESET Research.