Крупные немецкие производители автомобилей и автодилеры уже почти год подвергаются постоянным кибератакам. Об этом говорится в отчете, опубликованном специалистами компании Check Point. Они сообщают, что атаки начались ориентировочно в июле прошлого года и продолжаются до настоящего времени.

Для осуществления своих операций злоумышленники зарегистрировали множество доменных имен, сходных с доменами, которые используют официальные сайты многих предприятий немецкой автомобильной индустрии. С сайтов на этих поддельных доменах жертвам рассылаются фишинговые сообщения электронной почты, содержащие вредоносное ПО. К сообщению прилагается ISO-файл с образом диска, поскольку такие файлы успешно проходят проверки большинством защитных решений.

В одном из приведенных исследователями Check Point примеров письмо, направленное автодилеру, представляет собой фальшивую квитанцию о передаче автомобиля. При просмотре этого документа в фоновом режиме исполняется код, который извлекает вредоносное ПО и запускает его загрузку. В большинстве случаев на устройства жертв устанавливаются так называемые инфостилеры – программы для похищения данных, в частности, Raccoon Stealer, AZORult и BitRAT.

Согласно информации Check Point, целями этой кампании стали уже не менее 14 организаций немецкой автомобильной индустрии. Их названия в отчете не приводятся. Исследователи смогли установить, что вредоносное ПО для загрузки в ходе атак размещалось ранее на сайте bornagroup.ir, зарегистрированном в Иране. Кроме того, есть и другие признаки, позволяющие предположить, что за операцией стоит одна из иранских киберпреступных группировок. Однако в Check Point полагают, что имеющихся свидетельств все же недостаточно, чтобы говорить об этом с полной уверенностью.