Злоумышленники скомпрометировали эксклюзивного партнера компании ESET в Израиле и разослали клиентам фишинговые письма.
В которых под видом антивирусного ПО предлагалось установить уничтожающую данные малварь.
Фишинговая кампания началась 8 октября 2024 года. Хакеры рассылали жертвам электронные письма с логотипом ESET с легитимного домена eset.co.il. И хотя домен eset.co.il содержит контент и логотипы ESET, представители компании , что домен принадлежит партнеру, и им управляет компания Comsecure — израильский дистрибьютор продуктов ESET.
В письмах хакеры выдавали себя за представителей ESET Advanded Threat Defense Team и предупреждали, что некие правительственные хакеры якобы пытаются атаковать устройство клиента. Для защиты от этой угрозы жертве предлагалось установить продвинутый антивирусный инструмент под названием ESET Unleashed, который якобы предназначен для «противодействия современным таргетированным угрозам».
Вредоносное письмо
Чтобы придать атаке большую легитимность, ссылка на загрузку ESET Unleashed тоже вела в домен eset.co.il. Например: https://backend.store.eset.co[.]il/pub/2eb524d79ce77d5857abe1fe4399a58d/ESETUnleashed_081024.zip (в настоящее время URL злоумышленников уже неактивны).
Вредоносный ZIP-архив четыре DLL-файла, подписанные подлинным цифровым сертификатом ESET, и файл Setup.exe, который не был подписан. При этом все DLL-библиотеки представляли собой легитимные файлы, действительно распространяющиеся в составе антивирусного ПО ESET, а вот был вайпером, то есть малварью для стирания и уничтожения данных.
Как сообщает известный ИБ-специалист (Kevin Beaumont), изучивший вредоноса, тот использовал множество приемов, чтобы избежать обнаружения и обращался к легитимному израильскому новостному сайту .
Пока неизвестно, на какое количество организаций была направлена эта кампания, и как именно была скомпрометирована компания Comsecure.
В которых под видом антивирусного ПО предлагалось установить уничтожающую данные малварь.
Фишинговая кампания началась 8 октября 2024 года. Хакеры рассылали жертвам электронные письма с логотипом ESET с легитимного домена eset.co.il. И хотя домен eset.co.il содержит контент и логотипы ESET, представители компании , что домен принадлежит партнеру, и им управляет компания Comsecure — израильский дистрибьютор продуктов ESET.
В письмах хакеры выдавали себя за представителей ESET Advanded Threat Defense Team и предупреждали, что некие правительственные хакеры якобы пытаются атаковать устройство клиента. Для защиты от этой угрозы жертве предлагалось установить продвинутый антивирусный инструмент под названием ESET Unleashed, который якобы предназначен для «противодействия современным таргетированным угрозам».
Вредоносное письмо
Чтобы придать атаке большую легитимность, ссылка на загрузку ESET Unleashed тоже вела в домен eset.co.il. Например: https://backend.store.eset.co[.]il/pub/2eb524d79ce77d5857abe1fe4399a58d/ESETUnleashed_081024.zip (в настоящее время URL злоумышленников уже неактивны).
Вредоносный ZIP-архив четыре DLL-файла, подписанные подлинным цифровым сертификатом ESET, и файл Setup.exe, который не был подписан. При этом все DLL-библиотеки представляли собой легитимные файлы, действительно распространяющиеся в составе антивирусного ПО ESET, а вот был вайпером, то есть малварью для стирания и уничтожения данных.
Как сообщает известный ИБ-специалист (Kevin Beaumont), изучивший вредоноса, тот использовал множество приемов, чтобы избежать обнаружения и обращался к легитимному израильскому новостному сайту .
Пока неизвестно, на какое количество организаций была направлена эта кампания, и как именно была скомпрометирована компания Comsecure.
