Pojedinci koji plaćaju porez u Meksiku i Čileu bili su na meti grupe kibernetičkih kriminala sa sjedištem u Meksiku koja se zove Fenix kako bi probila ciljane mreže i ukrala vrijedne podatke.
Ključno obilježje operacije uključuje kloniranje službenih portala Servicio de Administración Tributaria (SAT) u Meksiku i Servicio de Impuestos Internos (SII) u Čileu i preusmjeravanje potencijalnih žrtava na te stranice.
“Ove lažne web stranice podstiču korisnike da preuzmu navodni sigurnosni alat, tvrdeći da će poboljšati njihovu sigurnost navigacije portalom”, rekli su istraživači sigurnosti Metabase Q Gerardo Corona i Julio Vidal u nedavnoj analizi.
Međutim, bez znanja žrtava, ovo preuzimanje zapravo instalira početnu fazu malicioznog softvera, što na kraju omogućava krađu osjetljivih informacija kao što su kredencijali.
Cilj Fenixa, prema firmi za kibernetičku bezbjednost fokusiranu na Latinsku Ameriku, je da djeluje kao inicijalni broker za pristup i da se učvrsti u različitim kompanijama u regiji, te proda pristup kompanjama ransomware-a za dalju ekspanziju.
Do sada prikupljeni dokazi ukazuju na to da je haker orkestrirao phishing kampanje koje se poklapaju s aktivnostima vlade tokom godine od najmanje četvrtog kvartala 2022. godine.
Mehanizam kampanje se odvija ovako: posjetioci koji dođu na lažne web stranice su pozvani da preuzmu softver koji navodno štiti njihove podatke dok pretražuju portal. Alternativno, korisnici su namamljeni putem phishing stranica koje su postavljene za preuzimanje legitimnih aplikacija kao što je AnyDesk.
Fenix kompromituje slabe web stranice koristeći ranjive WordPress mehanizme i također stvara nove domene za pokretanje phishing kampanja, rekli su istraživači, dodajući da grupa “kreira typosquatting domene slične poznatim aplikacijama kao što su AnyDesk, WhatsApp, itd”.
Ali u stvarnosti, ZIP datoteka koja sadrži navodni softver koristi se kao odskočna daska za aktiviranje sekvence infekcije koja vodi do izvršenja zamagljene PowerShell skripte, koja zauzvrat učitava i pokreće .NET binarnu datoteku, nakon čega se pojavljuje poruka “Ahora se encuentra protegido” (što na španskom znači “Sada ste zaštićeni”) prikazano je kako bi se nastavilo s varkom.
.NET izvršna datoteka naknadno krči put za uspostavljanje postojanosti na kompromitovanom hostu i implementaciju malicioznog softvera za botnet koji je sposoban za pokretanje komandi primljenih sa udaljenog servera, učitavanje modula za krađu koji eksfiltrira kredencijale pohranjene u web preglednicima i kripto novčanicima, i na kraju se briše.
“Vidimo kako se nove maliciozne grupe stvaraju u LATAM-u kako bi se omogućio početni pristup ransomware bandama”, zaključili su istraživači. “Ovi lokalni hakeri nisu amateri i povećat će svoju tehničku stručnost i stoga ih je teže pratiti, otkriti i iskorijeniti, važno je predvidjeti njihove postupke.”
Izvor: The Hacker News