Un socio exclusivo de ESET en Israel fue pirateado para enviar correos electrónicos de phishing a empresas israelíes, distribuyendo una víbora disfrazada de software antivirus.
La campaña de phishing comenzó el 8 de octubre utilizando el dominio legítimo eset.co.il e incluyó correos electrónicos con el logo oficial de ESET.
Si bien eset.co.il tiene el contenido y los logotipos de ESET, la compañía dice que es operado por Comsecure, su distribuidor en Israel.
Correos electrónicos supuestamente del equipo avanzado de defensa contra amenazas de ESET, advirtiendo a los clientes sobre los intentos de APT de atacar el dispositivo del destinatario y, para protección, se ofreció una herramienta antivirus más avanzada llamada ESET Unleashed para su instalación en 5 dispositivos cualesquiera.
Los encabezados de los correos electrónicos de phishing indicaban que el correo electrónico se envió desde servidores de correo electrónico legítimos de eset.co.il que pasaron la autenticación SPF, DKIM y DMARC.
Para mayor legitimidad, el enlace de descarga se publicó en el dominio eset.co.il en las siguientes URL:
https://backend.store.eset.co[.]il/pub/2eb524d79ce77d5857abe1fe4399a58d/ESETUnleashed_081024.zip (actualmente deshabilitado).
Archivo ZIP
https://www.virustotal.com/gui/file/2d55c68aa7781db7f2324427508947f057a6baca78073fee9a5ad254147c8232
VirusTotal
https://www.virustotal.com/gui/file/2d55c68aa7781db7f232 8947f057a6baca78073fee9a5ad254147c8232)
https://www.virustotal.com /gui/file/2d55c68aa7781db7f2324427508947f057a6baca78073fee9a5ad254147c8232
Contiene cuatro archivos DLL firmados digitalmente con un certificado de firma de código legítimo de ESET, incluido Setup.exe, que no está firmado.
Las cuatro DLL son archivos legítimos distribuidos como parte del software antivirus de ESET y Setup.exe:
https://www.virustotal.com/gui/file/2abff990d33d99a0732ddbb3a39831c2c292f36955381d45cd8d40a816d9b47a
VirusTotal
https://www.virustotal.com/gui/ archivo /2abff990d33d99a0732ddbb3a39831c2c292f36955381d45cd8d40a816d9b47a
https://www.virustotal.com/gui/file/2abff990d33d99a0732ddbb3a39831c2c292f36955381d45 cd 8d40a816d9b47a es una víbora maliciosa.
El investigador Kevin Beaumont logró ponerlo en funcionamiento:
https://doublepulsar.com/eiw-eset-israel-wiper-used-in-active-attacks-targeting-israeli-orgs-b1210aed7021 en una PC física y estudió el comportamiento, notando muchas técnicas obvias para evadir la detección.
Actualmente se desconoce cuántas empresas fueron objeto de esta campaña de phishing o cómo Comsecure se vio comprometido o atribuido a algún actor de amenazas.