Um agente desconhecido de ameaças de crimes cibernéticos foi observado visando vítimas de língua espanhola e portuguesa para comprometer contas bancárias online no México, Peru e Portugal.
“Este agente de ameaças emprega táticas como LOLBaS (binários e scripts vivos fora da terra), juntamente com scripts baseados em CMD para realizar suas atividades maliciosas”, disse a BlackBerry Research and Intelligence Team em um relatório publicado na semana passada.
A empresa de cibersegurança atribuiu a campanha, batizada de Operação CMDStealer, a um agente de ameaças brasileiro com base em uma análise dos artefatos.
A cadeia de ataque aproveita principalmente a engenharia social, apostando em e-mails portugueses e espanhóis contendo iscas temáticas de impostos ou violações de trânsito para desencadear as infecções e obter acesso não autorizado aos sistemas das vítimas.
Os e-mails vêm equipados com um anexo HTML que contém código ofuscado para buscar a carga útil do próximo estágio de um servidor remoto na forma de um arquivo RAR.
Os arquivos, que são cercados geograficamente para um país específico, incluem um arquivo . CMD, que, por sua vez, abriga um script AutoIt que é projetado para baixar um script do Visual Basic para realizar o roubo do Microsoft Outlook e dados de senha do navegador.
“Os scripts baseados em LOLBaS e CMD ajudam os agentes de ameaças a evitar a detecção por medidas de segurança tradicionais. Os scripts aproveitam ferramentas e comandos internos do Windows, permitindo que o agente de ameaças evite soluções de plataforma de proteção de endpoint (EPP) e ignore os sistemas de segurança”, observou BlackBerry.
As informações coletadas são transmitidas de volta ao servidor do invasor por meio de um método de solicitação HTTP POST.
“Com base na configuração usada para atingir as vítimas no México, o agente da ameaça está interessado em contas comerciais online, que geralmente têm um fluxo de caixa melhor”, disse a empresa canadense de segurança cibernética.
O desenvolvimento é o mais recente de uma longa linha de campanhas de malware com motivação financeira emanadas do Brasil.
As descobertas também vêm quando a ESET expôs as táticas de uma rede de crimes cibernéticos nigeriana que executou golpes complexos de fraude financeira direcionados a indivíduos, bancos e empresas desavisados nos EUA e em outros lugares entre dezembro de 2011 e janeiro de 2017.
Para desvendar os esquemas, os bandidos usaram ataques de phishing para obter acesso a contas de e-mail corporativas e enganar seus parceiros de negócios para enviar dinheiro para contas bancárias controladas por criminosos, uma técnica chamada comprometimento de e-mail comercial.
Se você precisa de ajuda para avaliar e/ou elevar o seu nível de segurança, entre em contato com a 4Security, teremos prazer em direcionar um especialista para lhe atender.