По одной из теорий, атакующие пытаются скомпрометировать используемые в сервисах инструменты.
Эксперты компании TG Softвыявилиактивную вредоносную кампанию, направленную на сервисные центры Samsung в Италии. В минувшем месяценаблюдалисьпохожие атаки на сервисные центры южнокорейского производителя, расположенные в России.
Обе кампании практически идентичны. На первом этапе злоумышленники рассылают сотрудникам центров фишинговыеписьма с прикрепленными документами MS Excel. При открытии документа на компьютер загружается эксплоит, использующий уязвимость CVE-2017-11882 в редакторе формул редактор формул Microsoft Equation (Microsoftисправиладанную уязвимость в ноябре 2017 года) для заражения устройства вредоносным ПО. В случае с итальянскими сервисными центрами Samsung на компьютер загружаются трояны для удаленного доступа Netwire или njRAT, тогда как в атаках на российские центры применялся RAT Imminent Monitor.
По сути, обе кампании не представляют собой ничего особенного, однако специалистам не удалось выяснить, зачем злоумышленники атакуют сервисные центры. По одной из теорий, преступники пытаются скомпрометировать используемые в сервисных центрах инструменты, что впоследствии предоставит им возможность заразить вредоносными программами починенную технику.