Партнёр ESET взломан: фишинговая атака с использованием уничтожителей данных

Хакеры взломали эксклюзивного партнера ESET в Израиле, чтобы рассылать фишинговые письма израильским компаниям, содержащие программы-уничтожители данных, замаскированные под антивирусное ПО.

Уничтожитель данных (data wiper) — это вредоносное ПО, которое намеренно удаляет все файлы на компьютере и часто повреждает таблицу разделов, затрудняя восстановление данных.

Фишинговая кампания была запущена 8 октября. Письма, использующие логотип ESET, были отправлены с легитимного домена eset.co.il, что указывает на взлом почтового сервера израильского подразделения в рамках атаки.

Хотя домен eset.co.il использует контент и логотипы ESET, он управляется дистрибьютором вендора в Израиле — компанией Comsecure.

Фишинговые сообщения якобы поступали от «Команды по защите от расширенных угроз ESET», предупреждая пользователей о том, что их устройства пытаются атаковать злоумышленники, поддерживаемые государством. Для защиты ESET якобы предлагала установить более продвинутый антивирусный инструмент под названием «ESET Unleashed».

В фишинговом письме сообщается:

Ваше устройство было идентифицировано среди списка устройств, которые в настоящее время атакуются злоумышленниками, поддерживаемыми государством. Данные, полученные подразделением ESET по киберугрозам, указывают на попытку целенаправленного воздействия на ваше устройство за последние 14 дней.

Как часть программы ESET Advanced Threat Defense (ESET-ATD), вам предлагается доступ к программе ESET Unleashed, которая предназначена для защиты от таких угроз и может быть установлена на 5 ваших устройств.

Заголовки фишинговых писем подтверждают, что они были отправлены с легитимных почтовых серверов eset.co.il, успешно пройдя проверки SPF, DKIM и DMARC.

Чтобы добавить атакам легитимности, ссылка на загрузку вела на домен eset.co.il, с URL-адресами вида

https://backend.store.eset.co[.]il/pub/2eb524d79ce77d5857abe1fe4399a58d/ESETUnleashed_081024.zip

– которые сейчас уже отключены.

ZIP-архив [VirusTotal] содержал четыре файла DLL, подписанных подлинным сертификатом цифровой подписи ESET, и файл Setup.exe, который не был подписан.

Четыре DLL были легитимными файлами, распространяемыми с антивирусным ПО ESET, однако Setup.exe VirusTotal оказался вредоносным уничтожителем данных.

BleepingComputer пытался протестировать уничтожитель данных на виртуальной машине, но исполняемый файл сразу же завершил работу с ошибкой.

Эксперт по кибербезопасности Кевин Бомонт (Kevin Beaumont) смог проанализировать работу ПО на физическом ПК и заявил, что программа взаимодействует с израильским новостным сайтом www.oref.org.il. Он отметил:

Setup.exe является вредоносным. Он использует множество очевидных техник для уклонения от обнаружения. У меня получилось активировать его только на физическом ПК. Он использует Mutex от группы вымогателей Yanluowang.

На данный момент неизвестно, сколько компаний стали жертвами этой фишинговой кампании или как был взломан партнер ESET в Израиле. Официальных заявлений от Comsecure пока не поступало.

Хотя атака не приписана конкретным злоумышленникам или хакерам, уничтожители данных уже давно используются в атаках на Израиль.

В 2017 году была обнаружена антиизраильская и пропалестинская программа-уничтожитель данных под названием IsraBye, использованная в атаках на израильские организации. В 2023 году Израиль пострадал от волны атак с использованием уничтожителя данных BiBi, нацеленных на организации, в том числе в сфере образования и технологий. Многие из этих атак были связаны с иранскими хакерами, целью которых было не получение прибыли, а создание хаоса и подрыв израильской экономики.