ESET Research: Infostealer phishingcampagnes richten zich op bedrijven in Polen, Roemenië en Italië

• ESET detecteerde negen opmerkelijke ModiLoader-phishingcampagnes in mei 2024 in Polen, Roemenië en Italië.
• Deze campagnes richtten zich op kleine en middelgrote bedrijven.
• Zeven van de campagnes waren gericht op Polen, waar ESET-producten meer dan 21.000 gebruikers tegen deze aanvallen beschermden.
• De kwaadwillenden gebruikten drie infostealer-malwarefamilies via ModiLoader: Rescoms, Agent Tesla en Formbook.
• De kwaadwillenden gebruikten eerder gecompromitteerde e-mailaccounts en bedrijfsservers om niet alleen kwaadaardige e-mails te verspreiden, maar ook om malware te hosten en gestolen gegevens te verzamelen.

Sliedrecht, 30 juli 2024 –  ESET-onderzoekers hebben negen wijdverspreide phishingcampagnes onderzocht, gericht op kleine en middelgrote bedrijven (mkb's) in Polen, Roemenië en Italië gedurende mei 2024, waarbij verschillende malwarefamilies werden verspreid. In vergelijking met het voorgaande jaar zijn de aanvallers in de regio overgestapt van AceCryptor naar ModiLoader als hun favoriete digitale wapen en hebben ze ook meer malware toegevoegd. Aanvallers gebruikten eerder gecompromitteerde e-mailaccounts en bedrijfsservers om niet alleen kwaadaardige e-mails te verspreiden, maar ook om malware te hosten en gestolen gegevens te verzamelen. In mei 2024 alleen al beschermden ESET-producten meer dan 26.000 gebruikers – waarvan meer dan 21.000 (80%) in Polen – tegen deze dreiging.

“In totaal registreerden we negen phishingcampagnes, waarvan er zeven in mei op Polen waren gericht,” zegt Jakub Kaloč, die de phishingcampagnes analyseerde. “De uiteindelijke payload die op de gecompromitteerde machines werd afgeleverd en gestart varieerde; we hebben campagnes gedetecteerd die de informatie stelende Formbook afleverden; de remote access trojan en informatie stealer Agent Tesla; en Rescoms RAT, software voor afstandsbediening en bewaking die gevoelige informatie kan stelen,” voegt hij toe.

Over het algemeen volgden alle campagnes een vergelijkbaar scenario. Het doelbedrijf ontving een e-mailbericht met een zakelijk aanbod. Net als bij de phishingcampagnes van de tweede helft van 2023 deden de aanvallers zich voor als bestaande bedrijven en hun werknemers als techniek om hun campagneresultaat te vergroten. Op deze manier, zelfs als het potentiële slachtoffer op zoek ging naar de gebruikelijke rode vlaggen, waren deze er gewoon niet, en zag de e-mail er zo legitiem mogelijk uit.

Infostealers zijn ook in Nederland een bedreiging zoals eerder is gezien tijdens de grootschalige politieoperatie: Operation Cookiemonster. Hier werd bijvoorbeeld een 71-jarig slachtoffer getroffen en verdween er bijna 70.000 euro van zijn beleggingsrekening. Daarnaast zijn er ook ernstige gevallen waarin hele beleggingsportefeuilles worden leeggehaald of complete bankrekeningen en cryptowallets worden geplunderd. Dit leidt tot een verlies van controle over het hele online leven van de slachtoffers.

E-mails van alle campagnes bevatten een kwaadaardige bijlage die het potentiële slachtoffer werd aangemoedigd te openen, op basis van de tekst van de e-mail. Het bestand zelf was ofwel een ISO-bestand of een archief met het ModiLoader-uitvoerbare bestand. ModiLoader is een Delphi-downloader met een eenvoudige taak – het downloaden en starten van malware. In twee van de campagnes waren ModiLoader-samples geconfigureerd om de volgende fase malware te downloaden van een gecompromitteerde server die toebehoorde aan een Hongaars bedrijf. In de rest van de campagnes downloadde ModiLoader de volgende fase van Microsoft's OneDrive cloudopslag.

Voor meer informatie over de ModiLoader-campagnes, lees de blogpost “Phishing targeting Polish SMBs continues via ModiLoader ” op WeLiveSecurity-com. Zorg ervoor dat je ESET Research volgt op Twitter (tegenwoordig bekend als X) voor het laatste nieuws van ESET Research.

Chain of compromise van ModiLoader phishingcampagnes in Polen in mei 2024.