Неизвестен извършител на киберпрестъпления се е насочил към испаноговорящи и португалоезични жертви, за да компрометира сметки за онлайн банкиране в Мексико, Перу и Португалия.

„Този бандит използва тактики като LOLBaS (living-off-the-land binaries and scripts), заедно със скриптове, базирани на CMD, за да извършва злонамерените си дейности“, заяви екипът BlackBerry Research and Intelligence Team в доклад, публикуван миналата седмица.

Компанията за киберсигурност приписва кампанията, наречена операция CMDStealer, на бразилски хакери  въз основа на анализ на артефакти.

Веригата от атаки използва предимно социално инженерство, като залага на португалски и испански имейли, съдържащи примамки на тема данъчни или пътни нарушения, за да задейства инфекциите и да получи неоторизиран достъп до системите на жертвите.

Имейлите са снабдени с HTML прикачен файл, който съдържа замаскиран код за извличане на полезния товар на следващия етап от отдалечен сървър под формата на RAR архивен файл.

Файловете, които са географски ограничени до конкретна държава, включват .CMD файл, в който на свой ред се съдържа AutoIt скрипт, който е разработен така, че да изтегли Visual Basic скрипт за извършване на кражба на данни за пароли на Microsoft Outlook и браузъра.

„Скриптовете, базирани на LOLBaS и CMD, помагат на  заплахите да избегнат откриването им от традиционните мерки за сигурност. Скриптовете използват вградени в Windows инструменти и команди, което позволява на хакера да заобиколи решенията на платформата за защита на крайни точки (EPP) и да заобиколи системите за сигурност“, отбелязват от BlackBerry.

Събраната информация се предава обратно към сървъра на атакуващия чрез метода на HTTP POST заявка.

„Въз основа на конфигурацията, използвана за таргетиране на жертви в Мексико, извършителят  се интересува от онлайн бизнес сметки, които обикновено имат по-добър паричен поток“, заяви канадската компания за киберсигурност.

Разработката е последната от дългата поредица финансово мотивирани кампании за зловреден софтуер, произлизащи от Бразилия.

Откритията идват и след като ESET разкри тактиката на нигерийска киберпрестъпна група, която е извършвала сложни измами с финансови средства, насочени към нищо неподозиращи физически лица, банки и предприятия в САЩ и други страни в периода декември 2011 г. – януари 2017 г.

За да осъществят схемите, лошите  са използвали фишинг атаки, за да получат достъп до корпоративни имейл акаунти и да подмамят бизнес партньорите си да изпратят пари по банкови сметки, контролирани от престъпниците – техника, наречена компрометиране на бизнес имейл.

Източник: The Hacker News

Подобни публикации

18 февруари 2025

Infostealer е открит в американски военни и отб...

Израелската фирма за киберсигурност Hudson Rock твърди, че в америк...
18 февруари 2025

Десетки италиански уебсайтове са обект на руски...

По данни на италианската национална агенция за киберсигурност ACN о...
18 февруари 2025

Киберпрестъпниците крадат мощта на ИИ, а вие пл...

Атакуващите използват големи езикови модели (LLM) в т.нар. експлойт...
18 февруари 2025

Cisco: Новите смарт суичове осигуряват следващо...

Cisco твърди, че новите интелигентни суичове и решения за защитна с...
17 февруари 2025

Японски художник излага оковано във верига куче...

Изложба в галерия в Токио, в която оковано във верига куче-робот се...
17 февруари 2025

Русия насочва организациите към фишинг с код на...

Свързана с Русия заплаха, проследена като Storm-2372, е насочена къ...
17 февруари 2025

Полицията конфискува 127 сървъра на непробиваем...

Дни след като няколко правителства обявиха санкции срещу услугата з...
Бъдете социални
Още по темата
18/02/2025

Infostealer е открит в амер...

Израелската фирма за киберсигурност Hudson Rock...
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
18/02/2025

Киберпрестъпниците крадат м...

Атакуващите използват големи езикови модели (LLM)...
Последно добавени
18/02/2025

Infostealer е открит в амер...

Израелската фирма за киберсигурност Hudson Rock...
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
18/02/2025

Киберпрестъпниците крадат м...

Атакуващите използват големи езикови модели (LLM)...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!