Descubierto campañas de malware en curso dirigidas a los centros de servicio de Samsung en Italia campañas que parecen ser la contrapartida de los ataques que anteriormente se habían dirigido a centros similares de servicio de electrónica en Rusia este año
Estas campañas de malware no son nada extraordinarias, y lo único que sigue siendo un misterio es su propósito y objetivo final.
Los ataques usualmente comienzan con la entrega de correos falsos de phishing fraudulento a los trabajadores del centro de servicio de Samsung en Italia.
Estos correos electrónicos llevan documentos adjuntos de Excel que, cuando se abren, aprovechan la vulnerabilidad CVE-2017-11882 Office Equation Editor para infectar a los usuarios con malware.
Todo el sistema de entrega de malware y la cadena de exploits se describen en un informe detallado publicado por la firma italiana de seguridad cibernética TG Soft y son casi idénticos a los ataques dirigidos a los centros de servicio de electrónica en Rusia, como se describió en un informe anterior de Fortinet.
Ambas ondas de ataque, dirigidas a Italia y Rusia, comenzaron a fines de marzo, según los dos informes. Pero mientras que los centros de servicios rusos fueron atacados con la RAT inminente del monitor, los ataques a los centros de servicio de Samsung Italia también aprovecharon otras RAT, como Netwire y njRAT.
Ambas compañías también notaron que los correos electrónicos de spear-phishing están muy bien armados y parecen haber sido escritos por un nativo en italiano y ruso, respectivamente.
Nadie sabe el propósito de estos ataques
Pero a pesar de todos los datos recopilados por TG Soft y Fortinet, las dos compañías no han podido determinar por qué los piratas informáticos están intentando infectar los centros de servicio de productos electrónicos, para empezar.
Dichos centros de servicio tienen muy pocos datos de clientes que un actor de amenazas pueda robar, y un atacante que tiene muchas otras empresas más atractivas a las que puede apuntar y de las que puede obtener datos más útiles.
Una explicación puede ser que los atacantes están tratando de contaminar las herramientas utilizadas en estos centros de servicio para que puedan infectar los dispositivos reparados con malware . Pero esto es solo una teoría, ya que no se han descubierto pruebas para respaldar este escenario, y toda esta campaña de distribución de malware permanece envuelta en una niebla de misterio.
Fecha actualización el 2021-07-18. Fecha publicación el 2018-07-18. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer