Un malware previamente no documentado llamado SambaSpy se dirige exclusivamente a usuarios en Italia a través de una campaña de phishing lanzada por un actor de amenazas de habla brasileña portuguesa.
“Los actores de amenazas normalmente intentan lanzar ataques en un área amplia para maximizar las ganancias, pero en este caso los atacantes se centran en un solo país”, dijo Kaspersky en un nuevo análisis. “Es probable que los atacantes primero investiguen a los usuarios en Italia antes de expandir sus ataques a otros países”.
El punto de partida del ataque es un correo electrónico de phishing que contiene un archivo adjunto HTML o un enlace incrustado que inicia el proceso de infección. Cuando se abre el archivo adjunto HTML, se utiliza un archivo ZIP que contiene un descargador o cuentagotas intermedio para extraer e iniciar la carga útil RAT multifuncional.
Un descargador, por otro lado, es responsable de recuperar el malware de un servidor remoto. Un dropper, por otro lado, hace lo mismo, pero en lugar de recuperar la carga útil de una ubicación externa, la extrae de un archivo.
La segunda cadena de infección que utiliza un enlace engañado es mucho más compleja y, si el usuario no es el objetivo previsto, al hacer clic en el enlace se le redireccionará a una factura legítima alojada en FattureInCloud.
En otro escenario, hacer clic en la misma URL lleva a la víctima a un servidor web malicioso que muestra una página HTML que contiene código JavaScript con comentarios escritos en portugués brasileño.
“El malware redirige a los usuarios a una URL maliciosa de OneDrive sólo cuando Edge, Firefox y Chrome tienen su configuración de idioma configurada en italiano”, dijo el proveedor ruso de ciberseguridad. “Si el usuario no pasa estas comprobaciones, permanecerá en esa página”.
Los usuarios que cumplan con estos requisitos recibirán un documento PDF alojado en Microsoft OneDrive y se les indicará que hagan clic en un hipervínculo para ver el documento. Luego son dirigidos a un archivo JAR malicioso alojado en MediaFire que contiene un descargador o un cuentagotas como antes.
SambaSpy, un troyano de acceso remoto con todas las funciones desarrollado en Java, proporciona administración de sistemas de archivos, administración de procesos, administración de escritorio remoto, carga/descarga de archivos, control de cámara web, registro de teclas y seguimiento del portapapeles, y captura de pantalla. Es una verdadera navaja suiza que puede manejar. capturas y proyectiles remotos.
RAT también tiene la capacidad de cargar complementos adicionales en tiempo de ejecución iniciando archivos descargados previamente en el disco, lo que le permite ampliar la funcionalidad según sea necesario. Además, está diseñado para robar credenciales de navegadores web como Chrome, Edge, Opera, Brave, Iridium y Vivaldi.
La evidencia de infraestructura sugiere que los actores de amenazas detrás de este ataque también están apuntando a Brasil y España, lo que indica una expansión de sus operaciones.
“Vemos varias conexiones con Brasil, incluidos artefactos lingüísticos en el código y dominios dirigidos a usuarios brasileños”, dijo Kaspersky. “Esto es consistente con el hecho de que los atacantes latinoamericanos a menudo apuntan a países europeos con idiomas similares, como Italia, España y Portugal”.
La nueva campaña de BBTok y Mekotio apunta a América Latina
La medida se produce cuando Trend Micro advierte sobre un aumento en las campañas dirigidas a América Latina con troyanos bancarios como BBTok, Grandoreiro y Mekotio a través de estafas de phishing que utilizan transacciones comerciales y legales como cebo. Sucedió unas semanas después.
La compañía dijo que Mekotio ha “empleado nuevas técnicas para ofuscar los scripts PowerShell del troyano, aumentando su capacidad para evadir la detección” y que BBTok utiliza enlaces de phishing para vincular LNK para desencadenar infecciones, enfatizando descargar el archivo ZIP o ISO que contiene el archivo.
El archivo LNK se utiliza para iniciar el binario MSBuild.exe legítimo presente en el archivo ISO para continuar con el siguiente paso. Luego carga un archivo XML malicioso oculto dentro del archivo ISO y aprovecha rundll32.exe para iniciar la carga útil DLL de BBTok.
“Al utilizar la utilidad legítima de Windows MSBuild.exe, un atacante puede ejecutar código malicioso mientras evade la detección”, señala Trend Micro.
La cadena de ataque asociada con Mekotio comienza con una URL maliciosa dentro de un correo electrónico de phishing. Después de hacer clic en esta URL, el usuario es dirigido a un sitio web falso donde se entrega un archivo ZIP. Este archivo contiene archivos por lotes diseñados para ejecutar scripts de PowerShell.
El script de PowerShell actúa como un descargador de segunda etapa que utiliza el script AutoHotKey para iniciar el troyano, pero antes de hacerlo explora el entorno de la víctima para determinar si el troyano se encuentra realmente en el país objetivo o no.
“Las estafas de phishing dirigidas a usuarios en América Latina para robar información bancaria confidencial y realizar transacciones bancarias fraudulentas se están volviendo cada vez más sofisticadas, y las técnicas utilizadas por los ciberdelincuentes son cada vez más sofisticadas. Esto pone de relieve la necesidad urgente de fortalecer las medidas de ciberseguridad para prevenir esto”, tendencia. Dijeron los microinvestigadores.
“Estos troyanos se están volviendo cada vez más hábiles para evadir la detección y robar información confidencial, y las organizaciones criminales detrás de ellos apuntan cada vez más a grupos más grandes para obtener más ganancias. Se está volviendo más audaz”.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/new-brazilian-linked-sambaspy-malware.html
