Primijećeno je da nepoznati haker cilja na žrtve koje govore španski i portugalski kako bi kompromitovao račune za internet bankarstvo u Meksiku, Peruu i Portugalu.
“Ovaj haker koristi taktike kao što je LOLBaS (living-off-the-land binarne datoteke i skripte), zajedno sa skriptama zasnovanim na CMD-u kako bi izvršio svoje maliciozne aktivnosti” navodi BlackBerry Research and Intelligence Team u izvještaju objavljenom prošle sedmice.
Kompanija za kibernetičku bezbjednost pripisala je kampanju, nazvanu Operacija CMDStealer, brazilskom hakeru na osnovu analize artefakata.
Lanac napada prvenstveno koristi društveni inženjering, oslanjajući se na portugalske i španske mejlove koji sadrže mamce na temu poreza ili saobraćajnih prekršaja kako bi se pokrenule infekcije i stekao neovlašteni pristup sistemima žrtava.
Email-ovi dolaze opremljeni HTML prilogom koji sadrži zamagljeni kod za preuzimanje payload-a sljedeće faze sa udaljenog servera u obliku RAR arhivske datoteke.
Datoteke, koje su geoograničene na određenu zemlju, uključuju .CMD datoteku, koja, zauzvrat, sadrži AutoIt skriptu koja je dizajnirana za preuzimanje Visual Basic Script-a za krađu Microsoft Outlook-a i podataka lozinke pretraživača.
“Skripte zasnovane na LLBaS-u i CMD-u pomažu hakerima da izbjegnu otkrivanje tradicionalnim sigurnosnim mjerama. Skripte koriste ugrađene Windows alate i komande, omogućavajući hakeru da izbjegne rešenja platforme za zaštitu krajnjih tačaka (EPP) i zaobiđe sigurnosne sisteme” napominje BlackBerry.
Sakupljene informacije se prenose nazad na server napadača putem HTTP POST metode zahtjeva.ž
“Na osnovu konfiguracije koja se koristi za ciljanje žrtava u Meksiku, haker je zainteresovan za online poslovne račune, koji obično imaju bolji tok novca” rekla je kanadska kompanija za kibernetičku bezbjednost.
Razvoj je najnoviji u dugom nizu finansijski motivisanih kampanja malicioznih softvera koje dolaze iz Brazila.
Nalazi takođe dolaze kada je ESET razotkrio taktiku nigerijskog lanca kibernetičkog kriminala koji je izvršio složene finansijske prevare usmjerene na nesuđene pojedince, banke i kompanije u i van SAD-a između decembra 2011. i januara 2017. godine.
Da bi izveli planove, hakeri su koristili phishing napade da bi dobili pristup korporativnim nalozima email-a i prevarili svoje poslovne partnere da pošalju novac na bankovne račune koje kontrolišu kriminalci, tehnika koja se naziva kompromis poslovnog email-a.
Izvor: The Hacker News
