Неизвестен извършител на киберпрестъпления се е насочил към испаноговорящи и португалоезични жертви, за да компрометира сметки за онлайн банкиране в Мексико, Перу и Португалия.
„Този бандит използва тактики като LOLBaS (living-off-the-land binaries and scripts), заедно със скриптове, базирани на CMD, за да извършва злонамерените си дейности“, заяви екипът BlackBerry Research and Intelligence Team в доклад, публикуван миналата седмица.
Компанията за киберсигурност приписва кампанията, наречена операция CMDStealer, на бразилски хакери въз основа на анализ на артефакти.
Веригата от атаки използва предимно социално инженерство, като залага на португалски и испански имейли, съдържащи примамки на тема данъчни или пътни нарушения, за да задейства инфекциите и да получи неоторизиран достъп до системите на жертвите.
Имейлите са снабдени с HTML прикачен файл, който съдържа замаскиран код за извличане на полезния товар на следващия етап от отдалечен сървър под формата на RAR архивен файл.
Файловете, които са географски ограничени до конкретна държава, включват .CMD файл, в който на свой ред се съдържа AutoIt скрипт, който е разработен така, че да изтегли Visual Basic скрипт за извършване на кражба на данни за пароли на Microsoft Outlook и браузъра.
„Скриптовете, базирани на LOLBaS и CMD, помагат на заплахите да избегнат откриването им от традиционните мерки за сигурност. Скриптовете използват вградени в Windows инструменти и команди, което позволява на хакера да заобиколи решенията на платформата за защита на крайни точки (EPP) и да заобиколи системите за сигурност“, отбелязват от BlackBerry.
Събраната информация се предава обратно към сървъра на атакуващия чрез метода на HTTP POST заявка.
„Въз основа на конфигурацията, използвана за таргетиране на жертви в Мексико, извършителят се интересува от онлайн бизнес сметки, които обикновено имат по-добър паричен поток“, заяви канадската компания за киберсигурност.
Разработката е последната от дългата поредица финансово мотивирани кампании за зловреден софтуер, произлизащи от Бразилия.
Откритията идват и след като ESET разкри тактиката на нигерийска киберпрестъпна група, която е извършвала сложни измами с финансови средства, насочени към нищо неподозиращи физически лица, банки и предприятия в САЩ и други страни в периода декември 2011 г. – януари 2017 г.
За да осъществят схемите, лошите са използвали фишинг атаки, за да получат достъп до корпоративни имейл акаунти и да подмамят бизнес партньорите си да изпратят пари по банкови сметки, контролирани от престъпниците – техника, наречена компрометиране на бизнес имейл.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.