Le Pakistan est devenu la dernière cible d’un acteur menaçant appelé Smishing Triad, marquant la première expansion de son empreinte au-delà de l’UE, de l’Arabie saoudite, des Émirats arabes unis et des États-Unis.
« La dernière tactique du groupe consiste à envoyer des messages malveillants au nom de Pakistan Post aux clients des opérateurs de téléphonie mobile via iMessage et SMS », Resecurity dit dans un rapport publié plus tôt cette semaine. « Le but est de voler leurs informations personnelles et financières. »
Les auteurs de la menace, vraisemblablement parlant chinois, sont connus pour exploiter des bases de données volées vendues sur le dark web pour envoyer de faux messages SMS, incitant les destinataires à cliquer sur des liens sous prétexte de les informer de l’échec de la livraison d’un colis et de les inciter à mettre à jour. leur adresse.
Les utilisateurs qui finissent par cliquer sur les URL sont dirigés vers de faux sites Web qui les invitent à saisir leurs informations financières dans le cadre de supposés frais de service facturés pour la nouvelle livraison.
« Outre Pakistan Post, le groupe a également été impliqué dans la détection de plusieurs escroqueries contre de faux colis de livraison », a déclaré Resecurity. « Ces escroqueries ciblaient principalement les personnes qui attendaient des colis légitimes provenant de services de messagerie réputés tels que TCS, Leopard et FedEx. »
Ce développement intervient alors que Google a révélé les détails d’un acteur malveillant qu’il appelle PINEAPPLE qui utilise des leurres sur le thème fiscal et financier dans les messages de spam pour inciter les utilisateurs brésiliens à ouvrir des liens ou des fichiers malveillants qui conduisent finalement au déploiement des informations d’Astaroth (alias Guildma). voler des logiciels malveillants.
« PINEAPPLE abuse souvent des services cloud légitimes dans ses tentatives de distribution de logiciels malveillants aux utilisateurs au Brésil », a déclaré Mandiant et Threat Analysis Group (TAG) de Google. dit. « Le groupe a expérimenté un certain nombre de plateformes cloud, notamment Google Cloud, Amazon AWS, Microsoft Azure et d’autres. »
Il convient de noter que l’abus de Google Cloud Run pour diffuser Astaroth a été signalé par Cisco Talos plus tôt en février, le décrivant comme une campagne de distribution de logiciels malveillants à grand volume ciblant les utilisateurs d’Amérique latine (LATAM) et d’Europe.
Le goliath d’Internet a déclaré avoir également observé un groupe de menaces basé au Brésil qu’il suit sous le nom d’UNC5176, ciblant les secteurs des services financiers, de la santé, de la vente au détail et de l’hôtellerie avec une porte dérobée nommée URSA qui peut siphonner les informations de connexion de diverses banques, sites Web de crypto-monnaie et clients de messagerie.
Les attaques exploitent les e-mails et les campagnes de publicité malveillante comme vecteurs de distribution d’un fichier ZIP contenant un fichier d’application HTML (HTA) qui, une fois ouvert, dépose un script Visual Basic (VBS) chargé de contacter un serveur distant et de récupérer un fichier VBS de deuxième étape.
Le fichier VBS téléchargé effectue ensuite une série de vérifications anti-sandbox et anti-VM, après quoi il initie des communications avec un serveur de commande et de contrôle (C2) pour récupérer et exécuter la charge utile URSA.
Un troisième acteur financièrement motivé basé en Amérique latine et mis en avant par Google est FLUXROOT, qui est lié à la distribution du cheval de Troie bancaire Grandoreiro. La société a déclaré avoir supprimé les pages de phishing hébergées par l’adversaire en 2023 sur Google Cloud qui usurpaient l’identité de Mercado Pago dans le but de voler les informations d’identification des utilisateurs.
« Plus récemment, FLUXROOT a continué la distribution de Grandoreiro, en utilisant des services cloud tels qu’Azure et Dropbox pour diffuser le malware », indique-t-il.
Cette divulgation fait suite à l’émergence d’un nouvel acteur malveillant baptisé Red Akodon, qui a été repéré en train de propager divers chevaux de Troie d’accès à distance tels qu’AsyncRAT, Quasar RAT, Remcos RAT et XWorm via des messages de phishing conçus pour récolter des informations sur des comptes bancaires, des comptes de messagerie et autres. informations d’identification.
Les cibles de la campagne, qui se poursuit depuis avril 2024, comprennent le gouvernement, les organisations de santé et d’éducation ainsi que les secteurs de la finance, de la fabrication, de l’alimentation, des services et des transports en Colombie.
« Le vecteur d’accès initial de Red Akodon se fait principalement à l’aide d’e-mails de phishing, qui servent de prétexte à de prétendues poursuites et convocations judiciaires, provenant apparemment d’institutions colombiennes telles que la Fiscalía General de la Nación et le Juzgado 06 civil del circuito de Bogotá », cybersécurité mexicaine société Scitum dit.