I laboratori TG-Soft riportano di aver individuato, grazia alla collaborazione con Samsung Italia, un attacco di spear-phishing subito in questi ultimi mesi.
Vediamo alcuni dettagli
Attacco tramite Spear-Phishing
Come già detto l’attacco è stato veicolato tramite email, l’oggetto delle stesse era il seguente: Comunicazione 18-061: gestione centri non autorizzati
I principali ed unici obiettivi della campagna sono stati i centri assistenza Samsung italiani; il corpo della mail ed il contenuto sono in perfetto italiano con l’uso di termini specifici che contribuivano a dare credibilità alla email.
Dopo accurate indagini eseguite dai laboratori TG-Soft è stato individuato il punto di origine delle email, ovvero da un account di una società (a sua volta compromessa) proveniente dal Messico;
l’allegato consisteva in un file Excel che sfruttando una vulnerabilità eseguiva un oggetto OLE scaricava da un sito collegato ad un centro assistenza Samsung (a sua volta compromesso) il vero e proprio malware il quale apriva un backdoor nel sistema ed istruiva un RAT usando il software Imminent Monitor permettendo di comunicare con il server C&C e gli stessi attaccanti.
Un attacco composto da multi-livelli che è stato fermato grazie all’intervento dei laboratori TG-Soft ed alla collaborazione con Samsung Italia.
Di seguito la fonte per gli approfondimenti ed il PDF dedicato