O Paquistão tornou-se o mais recente alvo de um ator ameaçador chamado Smishing Triad, marcando a primeira expansão da sua presença para além da UE, Arábia Saudita, Emirados Árabes Unidos e EUA
“A última tática do grupo envolve o envio de mensagens maliciosas em nome do Pakistan Put up para clientes de operadoras móveis by way of iMessage e SMS”, disse a Resecurity em um relatório publicado no início desta semana. “O objetivo é roubar suas informações pessoais e financeiras.”
Os atores da ameaça, que se acredita serem de língua chinesa, são conhecidos por aproveitar bancos de dados roubados vendidos na darkish internet para enviar mensagens SMS falsas, induzindo os destinatários a clicar em hyperlinks sob o pretexto de informá-los sobre uma falha na entrega de um pacote e instá-los a atualizar seu endereço.
Os usuários que acabam clicando nas URLs são direcionados para websites falsos que os solicitam a inserir suas informações financeiras como parte de uma suposta taxa de serviço cobrada pela reentrega.
“Além do Pakistan Put up, o grupo também esteve envolvido na detecção de vários golpes de pacotes de entrega falsos”, disse Resecurity. “Esses golpes visavam principalmente indivíduos que esperavam pacotes legítimos de serviços de correio confiáveis, como TCS, Leopard e FedEx.”
O desenvolvimento ocorre no momento em que o Google revela detalhes de um ator de ameaça chamado PINEAPPLE, que emprega iscas com temas fiscais e financeiros em mensagens de spam para induzir usuários brasileiros a abrir hyperlinks ou arquivos maliciosos que, em última análise, levam à implantação do sistema de informações Astaroth (também conhecido como Guildma). roubando malware.
“A PINEAPPLE frequentemente abusa de serviços de nuvem legítimos em suas tentativas de distribuir malware para usuários no Brasil”, disse o Mandiant and Risk Evaluation Group (TAG) do Google. “O grupo fez experiências com diversas plataformas de nuvem, incluindo Google Cloud, Amazon AWS, Microsoft Azure e outras.”
É importante notar que o abuso do Google Cloud Run para disseminar o Astaroth foi sinalizado pelo Cisco Talos no início de fevereiro, descrevendo-o como uma campanha de distribuição de malware em alto quantity visando usuários na América Latina (LATAM) e na Europa.
O gigante da Web disse que também observou um cluster de ameaças baseado no Brasil que ele rastreia como UNC5176 visando os setores de serviços financeiros, saúde, varejo e hospitalidade com um backdoor de codinome URSA que pode desviar credenciais de login para vários bancos, websites de criptomoeda e clientes de e-mail.
Os ataques utilizam e-mails e campanhas de malvertising como vetores de distribuição de um arquivo ZIP contendo um arquivo HTML Software (HTA) que, quando aberto, descarta um Visible Fundamental Script (VBS) responsável por entrar em contato com um servidor remoto e buscar um arquivo VBS de segundo estágio.
O arquivo VBS baixado posteriormente realiza uma série de verificações anti-sandbox e anti-VM, após as quais ele inicia a comunicação com um servidor de comando e controle (C2) para recuperar e executar a carga útil da URSA.
Um terceiro ator com motivação financeira baseado na América Latina destacado pelo Google é o FLUXROOT, que está ligado à distribuição do trojan bancário Grandoreiro. A empresa afirmou que derrubou páginas de phishing hospedadas pelo adversário em 2023 no Google Cloud que se faziam passar pelo Mercado Pago com o objetivo de roubar credenciais de usuários.
“Mais recentemente, o FLUXROOT continuou a distribuição do Grandoreiro, usando serviços em nuvem como Azure e Dropbox para servir o malware”, afirmou.
A divulgação segue o surgimento de um novo ator de ameaça chamado Crimson Akodon, que foi detectado propagando vários trojans de acesso remoto como AsyncRAT, Quasar RAT, Remcos RAT e XWorm por meio de mensagens de phishing projetadas para coletar detalhes de contas bancárias, contas de e-mail e outros. credenciais.
Os alvos da campanha, que está em andamento desde abril de 2024, incluem organizações governamentais, de saúde e educação, bem como os setores financeiro, manufatureiro, alimentício, de serviços e de transporte na Colômbia.
“O vetor de acesso inicial da Crimson Akodon ocorre principalmente por meio de e-mails de phishing, que são usados como pretexto para supostas ações judiciais e intimações judiciais, aparentemente provenientes de instituições colombianas como a Fiscalía Common de la Nación e o Juzgado 06 civil del circuito de Bogotá”, disse a cibersegurança mexicana. empresa Scitum disse.
