Pakistán se ha convertido en el último objetivo de un actor amenazador llamado Smishing Triad, lo que marca la primera expansión de su huella más allá de la UE, Arabia Saudita, los Emiratos Árabes Unidos y los EE. UU.
«La última táctica del grupo consiste en enviar mensajes maliciosos en nombre de Pakistan Post a clientes de operadores de telefonía móvil a través de iMessage y SMS», Resecurity dicho en un informe publicado a principios de esta semana. «El objetivo es robar su información personal y financiera».
Se sabe que los actores de amenazas, que se cree que hablan chino, aprovechan bases de datos robadas vendidas en la web oscura para enviar mensajes SMS falsos, incitando a los destinatarios a hacer clic en enlaces con el pretexto de informarles de una entrega fallida de un paquete e instarlos a actualizar. su dirección.
Los usuarios que terminan haciendo clic en las URL son dirigidos a sitios web falsos que les solicitan que ingresen su información financiera como parte de una supuesta tarifa de servicio cobrada por la reenvío.
«Además de Pakistan Post, el grupo también participó en la detección de múltiples estafas de paquetes de entrega falsos», dijo Resecurity. «Estas estafas se dirigieron principalmente a personas que esperaban paquetes legítimos de servicios de mensajería acreditados como TCS, Leopard y FedEx».
El desarrollo se produce cuando Google reveló detalles de un actor de amenazas al que llama PINEAPPLE que emplea señuelos con temas fiscales y financieros en mensajes de spam para atraer a los usuarios brasileños a abrir enlaces o archivos maliciosos que en última instancia conducen a la implementación de la información de Astaroth (también conocido como Guildma). robar malware.
«PINEAPPLE a menudo abusa de servicios legítimos en la nube en sus intentos de distribuir malware a usuarios en Brasil», dijo Mandiant y Threat Analysis Group (TAG) de Google. dicho. «El grupo ha experimentado con varias plataformas en la nube, incluidas Google Cloud, Amazon AWS, Microsoft Azure y otras».
Vale la pena señalar que el abuso de Google Cloud Run para difundir Astaroth fue señalado por Cisco Talos a principios de febrero, describiéndolo como una campaña de distribución de malware de gran volumen dirigida a usuarios de América Latina (LATAM) y Europa.
El goliat de Internet dijo que también observó un grupo de amenazas con sede en Brasil que rastrea como UNC5176 y que apunta a los sectores de servicios financieros, atención médica, comercio minorista y hotelería con una puerta trasera con nombre en código URSA que puede desviar credenciales de inicio de sesión para varios bancos, sitios web de criptomonedas y clientes de correo electrónico.
Los ataques aprovechan los correos electrónicos y las campañas de publicidad maliciosa como vectores de distribución de un archivo ZIP que contiene un archivo de aplicación HTML (HTA) que, cuando se abre, suelta un script Visual Basic (VBS) responsable de contactar a un servidor remoto y recuperar un archivo VBS de segunda etapa.
Posteriormente, el archivo VBS descargado procede a realizar una serie de comprobaciones anti-sandbox y anti-VM, después de lo cual inicia comunicaciones con un servidor de comando y control (C2) para recuperar y ejecutar la carga útil URSA.
Un tercer actor latinoamericano con motivaciones financieras destacado por Google es FLUXROOT, que está vinculado a la distribución del troyano bancario Grandoreiro. La compañía dijo que eliminó páginas de phishing alojadas por el adversario en 2023 en Google Cloud que se hacía pasar por Mercado Pago con el objetivo de robar las credenciales de los usuarios.
«Más recientemente, FLUXROOT ha continuado la distribución de Grandoreiro, utilizando servicios en la nube como Azure y Dropbox para servir el malware», dijo.
La divulgación se produce tras la aparición de un nuevo actor de amenazas denominado Red Akodon que ha sido detectado propagando varios troyanos de acceso remoto como AsyncRAT, Quasar RAT, Remcos RAT y XWorm a través de mensajes de phishing diseñados para recopilar detalles de cuentas bancarias, cuentas de correo electrónico y otros. cartas credenciales.
Los objetivos de la campaña, que ha estado en curso desde abril de 2024, incluyen organizaciones gubernamentales, de salud y educación, así como industrias financieras, manufactureras, alimentarias, de servicios y de transporte en Colombia.
«El vector de acceso inicial de Red Akodon se da principalmente a través de correos electrónicos de phishing, los cuales son utilizados como pretexto para supuestas demandas y citaciones judiciales, aparentemente provenientes de instituciones colombianas como la Fiscalía General de la Nación y el Juzgado 06 civil del circuito de Bogotá», informó la ciberseguridad mexicana. citum firme dicho.