Autóipari cégeket ostromolnak az adattolvajok

Egy olyan támadássorozat vette kezdetét, amely kifejezetten európai autóipari cégek, beszállítók és szolgáltatók ellen irányul. Sok értékes adat kerülhet veszélybe.
 

A Symantec kutatói arra lettek figyelmesek, hogy a korábban meglehetősen széles körű problémákat okozó Carbon Grabber vagy más néven Retgate károkozó egy újabb kiterjedt támadássorozatban kapott szerepet. Az is hamar kiderült, hogy ez az alvilági akció egy viszonylag jól behatárolható szektort veszélyeztet, ugyanis az esetek többségében kis- és közepes méretű autóipari beszállítókat, autókölcsönzőket, biztosítókat és szállítással foglalkozó cégeket állít célkeresztbe. Eddig elsősorban német, holland, olasz és brit vállalatok berkein belül okozott fennakadásokat a kártékony program.

A támadók ezúttal is az emberi hiszékenységre alapozva igyekeznek végrehajtani a nemkívánatos tevékenységeiket. A potenciális áldozatok számára - elsősorban ügyfélszolgálati munkatársak részére - elektronikus leveleket küldenek, amelyekben gépkocsikkal kapcsolatos ajánlatokat kérnek be. A csalók állítása szerint a pontos igények a levelekhez mellékelt fájlban találhatók. Azonban ez az állomány valójában a Carbon Grabber kódját tartalmazza, és a megnyitásakor a károkozó azonnal betöltődik a memóriába.
A Symantec szerint a legtöbb ilyen típusú e-mail egy - a valóságban nem létező - Technik Automobile GMBH nevű cégtől származik, és a mellékletekben egy "TechnikAutomobileGMBH.pdf.zip" fájl található. 

A Carbon Grabber érdekessége, hogy nemrégen már arról lehetett hallani, hogy a készítője befejezi a fejlesztését, és nem értékesíti tovább a károkozót az internetes feketepiacon. Ettől függetlenül - ahogy a példa is mutatja - az ártalmas program továbbra is bőszen szedi az áldozatait. A célja, hogy a rendszerekről minél több adatot gyűjtsön össze, illetve szivárogtasson ki. Ennek megfelelően alkalmas a Chrome, a Firefox, valamint az Internet Explorer folyamatos kémlelésére, de az Outlook alkalmazás iránt is fokozott érdeklődést mutat. A legnagyobb veszélye, hogy mielőtt a webböngésző titkosítaná az adatokat (HTTPS kapcsolat esetén), azelőtt már minden fontos adatot megkaparint. 
"A károkozó felhasználja a böngészők API-jait, amik révén adatokat tud lopni még azelőtt, hogy azok titkosítva a hálózatra kerülnének. A lopott információk között megtalálhatók Outlookhoz (postafiókokhoz) tartozó felhasználónevek, jelszavak, valamint minden olyan adat, amit a felhasználó a weboldalakon megad hitelesítések során, beleértve az online banki oldalakat és a belső, vállalati weblapokat is. A megkaparintott adatok végül egy vezérlőszerverre kerülnek" - nyilatkozta Lionel Payet, a Symantec szakértője. Majd hozzátette, hogy ez a támadássorozat egyértelműen a pénzszerzésről szól, és ha egy akció sikerül az elkövetők számára, akkor könnyen megvethetik a lábukat az áldozatok informatikai rendszerében.

A Symantec védekezés gyanánt a naprakészen tartott biztonsági alkalmazások használatát javasolta. Emellett persze lényeges az internet és az elektronikus levelek biztonságtudatos kezelése. Ha ugyanis a felhasználó nem nyitja meg a fertőzött csatolmányt, akkor e támadások méregfoga egész egyszerűen kihúzhatóvá válhat.