Como o mundo Os principais produtores de petróleo se prepararam para uma reunião de uma semana no início deste mês para planejar uma resposta à queda nos preços do petróleo, e os hackers de espionagem iniciaram uma sofisticada campanha de caça submarina, concentrada em empresas de energia dos EUA. O objetivo: instalar um trojan notório que desviasse suas comunicações e dados mais sensíveis.

Separando a campanha, os e-mails eram livres de erros de digitação, gramática interrompida e outras negligências típicas de phishing. Os e-mails também refletiam um remetente que conhecia bem os negócios de produção de energia. Uma enxurrada de emails iniciados em 31 de março, por exemplo, supostamente vinha da Engineering for Petroleum and Process Industries, uma verdadeira empresa estatal de petróleo egípcia.

Não é o spear-phishing de seu pai

O remetente convidou o destinatário a enviar uma oferta por equipamentos e materiais como parte de um projeto real em andamento, conhecido como Rosetta Sharing Facilities Project, em nome da Burullus, uma joint venture de gás que é metade da propriedade de outra empresa estatal de petróleo egípcia. O e-mail, enviado a cerca de 150 empresas de petróleo e gás ao longo de uma semana, a partir de 31 de março, anexou dois arquivos que se disfarçavam em condições de licitação, formulários e solicitação de proposta. O número relativamente pequeno de e-mails demonstra uma segmentação restrita da campanha cuidadosamente criada. Por outro lado, muitas campanhas de phishing não discriminam dezenas de milhares de e-mails.

ARS TECHNICA

Essa história apareceu originalmente na Ars Technica, uma fonte confiável de notícias sobre tecnologia, análise de políticas técnicas, análises e muito mais. Ars é de propriedade da controladora da WIRED, Condé Nast.

“Para alguém da indústria de petróleo e gás que tenha conhecimento sobre esses projetos, o e-mail e as informações contidas podem parecer suficientemente convincentes para abrir os anexos”, escreveram pesquisadores da empresa de segurança Bitdefender em um post publicado na terça-feira.

As empresas mais direcionadas estavam localizadas na Malásia, Estados Unidos, Irã, África do Sul e Omã.

Uma segunda campanha começou em 12 de abril. Ele enviou um e-mail solicitando aos destinatários que preenchessem um documento conhecido como Conta Estimada de Desembolso Portuário necessária para o navio de produtos químicos e óleo MT Sinar Maluku. Não apenas um navio real registrado sob a bandeira indonésia, como também deixou o porto em 12 de abril e deve chegar ao seu destino dois dias depois. O email foi enviado para 18 empresas, 15 das quais eram empresas de remessa nas Filipinas.

“Este e-mail serve como outro exemplo da extensão em que os atacantes irão esclarecer seus fatos, fazer com que o e-mail pareça legítimo e direcione especificamente para uma vertical.

Excesso induzido por pandemia

As campanhas são provavelmente uma tentativa de obter informações bem guardadas sobre as negociações atuais entre Rússia, Arábia Saudita e outros produtores de petróleo que estão lutando com um excesso de petróleo resultante da pandemia de coronavírus. A Bitdefender disse que essa não é a primeira vez que empresas desse setor são alvo. A empresa de segurança acompanhou uma série de ataques cibernéticos contra empresas de energia no ano passado. Desde setembro, o número aumentou todos os meses e atingiu um pico em fevereiro com mais de 5.000. Houve mais de 13.000 ataques este ano.

As duas campanhas recentes oferecem arquivos que instalam o Agent Tesla, uma oferta de malware como serviço que cobra vários preços com base em diferentes modelos de licenciamento. O Trojan, que está disponível desde 2014, possui uma variedade de recursos que incluem “técnicas furtivas, persistentes e de evasão de segurança que, por fim, permitem extrair credenciais, copiar dados da área de transferência, realizar capturas de tela, captura de formulários e funcionalidade de registro de chaves, e até mesmo coletar credenciais para uma variedade de aplicativos instalados “.

As empresas nos EUA foram as que mais tiveram como alvo, seguidas pelo Reino Unido, Ucrânia e Letônia.

“O interessante é que, até agora, ele não estava associado a campanhas direcionadas à vertical de petróleo e gás”, acrescentaram os pesquisadores da Bitdefender.

A campanha fornece um lembrete de que, apesar da crescente conscientização dos ataques de phishing, eles continuam sendo uma das maneiras mais eficazes para os invasores ganharem posição nas empresas-alvo. Mesmo quando os e-mails de phishing contêm erros de ortografia, erros gramaticais e outras falhas, os destinatários geralmente assumem corretamente que esses são os resultados de remetentes que escrevem em um segundo idioma. Os phishing tão bem criados quanto esses têm uma probabilidade ainda maior de sucesso.

Esta história apareceu originalmente na Ars Technica.


Mais grandes histórias WIRED



Fonte