Un acteur inconnu de la cybercriminalité a été observé ciblant des victimes hispanophones et lusophones pour compromettre des comptes bancaires en ligne au Mexique, au Pérou et au Portugal.
“Cet acteur de la menace utilise des tactiques telles que LOLBaS (binaires et scripts vivant hors de la terre), ainsi que des scripts basés sur CMD pour mener à bien ses activités malveillantes”, a déclaré l’équipe BlackBerry Research and Intelligence. a dit dans un rapport publié la semaine dernière.
La société de cybersécurité a attribué la campagne, baptisée Operation CMDStealerà un acteur menaçant brésilien sur la base d’une analyse des artefacts.
La chaîne d’attaque s’appuie principalement sur l’ingénierie sociale, en misant sur les e-mails portugais et espagnols contenant des leurres sur le thème des infractions fiscales ou routières pour déclencher les infections et obtenir un accès non autorisé aux systèmes des victimes.
Les e-mails sont accompagnés d’une pièce jointe HTML contenant du code obscurci pour récupérer la charge utile de l’étape suivante à partir d’un serveur distant sous la forme d’un fichier d’archive RAR.
Les fichiers, qui sont géolocalisés dans un pays spécifique, incluent un fichier .CMD, qui, à son tour, contient un script AutoIt conçu pour télécharger un script Visual Basic pour effectuer le vol de Microsoft Outlook et des données de mot de passe du navigateur.
“Les scripts basés sur LOLBaS et CMD aident les pirates à éviter d’être détectés par les mesures de sécurité traditionnelles. Les scripts exploitent les outils et les commandes Windows intégrés, permettant à l’acteur de la menace d’échapper aux solutions de la plate-forme de protection des terminaux (EPP) et de contourner les systèmes de sécurité”, a noté BlackBerry. .
Les informations récoltées sont retransmises au serveur de l’attaquant via un POSTE HTTP méthode de demande.
“Sur la base de la configuration utilisée pour cibler les victimes au Mexique, l’acteur de la menace s’intéresse aux comptes commerciaux en ligne, qui ont généralement un meilleur flux de trésorerie”, a déclaré la société canadienne de cybersécurité.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Le développement est le dernier d’une longue série de campagnes de logiciels malveillants à motivation financière émanant du Brésil.
Les découvertes surviennent également alors qu’ESET a exposé les tactiques d’un Réseau nigérian de cybercriminalité qui ont exécuté des escroqueries financières complexes ciblant des particuliers, des banques et des entreprises sans méfiance aux États-Unis et ailleurs entre décembre 2011 et janvier 2017.
Pour réussir les stratagèmes, les mauvais acteurs utilisé attaques de phishing pour obtenir l’accès aux comptes de messagerie d’entreprise et inciter leurs partenaires commerciaux à envoyer de l’argent sur des comptes bancaires contrôlés par des criminels, une technique appelée compromission de messagerie professionnelle.