Неизвестен извършител на киберпрестъпления се е насочил към испаноговорящи и португалоезични жертви, за да компрометира сметки за онлайн банкиране в Мексико, Перу и Португалия.
„Този бандит използва тактики като LOLBaS (living-off-the-land binaries and scripts), заедно със скриптове, базирани на CMD, за да извършва злонамерените си дейности“, заяви екипът BlackBerry Research and Intelligence Team в доклад, публикуван миналата седмица.
Компанията за киберсигурност приписва кампанията, наречена операция CMDStealer, на бразилски хакери въз основа на анализ на артефакти.
Веригата от атаки използва предимно социално инженерство, като залага на португалски и испански имейли, съдържащи примамки на тема данъчни или пътни нарушения, за да задейства инфекциите и да получи неоторизиран достъп до системите на жертвите.
Имейлите са снабдени с HTML прикачен файл, който съдържа замаскиран код за извличане на полезния товар на следващия етап от отдалечен сървър под формата на RAR архивен файл.
Файловете, които са географски ограничени до конкретна държава, включват .CMD файл, в който на свой ред се съдържа AutoIt скрипт, който е разработен така, че да изтегли Visual Basic скрипт за извършване на кражба на данни за пароли на Microsoft Outlook и браузъра.
„Скриптовете, базирани на LOLBaS и CMD, помагат на заплахите да избегнат откриването им от традиционните мерки за сигурност. Скриптовете използват вградени в Windows инструменти и команди, което позволява на хакера да заобиколи решенията на платформата за защита на крайни точки (EPP) и да заобиколи системите за сигурност“, отбелязват от BlackBerry.
Събраната информация се предава обратно към сървъра на атакуващия чрез метода на HTTP POST заявка.
„Въз основа на конфигурацията, използвана за таргетиране на жертви в Мексико, извършителят се интересува от онлайн бизнес сметки, които обикновено имат по-добър паричен поток“, заяви канадската компания за киберсигурност.
Разработката е последната от дългата поредица финансово мотивирани кампании за зловреден софтуер, произлизащи от Бразилия.
Откритията идват и след като ESET разкри тактиката на нигерийска киберпрестъпна група, която е извършвала сложни измами с финансови средства, насочени към нищо неподозиращи физически лица, банки и предприятия в САЩ и други страни в периода декември 2011 г. – януари 2017 г.
За да осъществят схемите, лошите са използвали фишинг атаки, за да получат достъп до корпоративни имейл акаунти и да подмамят бизнес партньорите си да изпратят пари по банкови сметки, контролирани от престъпниците – техника, наречена компрометиране на бизнес имейл.
