Estos ataques provienen de ciberdelincuentes brasileños utilizando LOLBaS (binarios y scripts que se aprovechan de las herramientas y comandos de Windows) y scripts CMD.
Un actor desconocido de ciberdelincuencia ha dirigido sus ataques hacia víctimas de habla española y portuguesa, con el objetivo de comprometer cuentas bancarias en línea en México, Perú y Portugal. Según un informe del equipo de Investigación e Inteligencia de BlackBerry, este actor utiliza tácticas como LOLBaS (binarios y scripts que se aprovechan de las herramientas y comandos de Windows) y scripts basados en CMD para llevar a cabo sus actividades maliciosas.
La campaña, denominada Operación CMDStealer, ha sido atribuida a un actor de amenazas brasileño, basándose en un análisis de los artefactos. El ataque se basa principalmente en la ingeniería social, utilizando correos electrónicos en portugués y español con señuelos relacionados con impuestos o infracciones de tráfico para infectar los sistemas de las víctimas y obtener acceso no autorizado.
Los correos electrónicos contienen archivos adjuntos HTML con código obfuscado que descargan archivos RAR desde un servidor remoto. Estos archivos, georrestringidos a un país específico, contienen un archivo .CMD que a su vez ejecuta un script de AutoIt para robar datos de contraseñas de Microsoft Outlook y navegadores. El actor de amenazas utiliza estas tácticas para evadir las medidas de seguridad tradicionales y enviar la información robada de vuelta a su servidor a través de solicitudes HTTP POST. Según la configuración utilizada para atacar a las víctimas en México, se ha determinado que el actor de amenazas está interesado en las cuentas de negocios en línea. Este incidente se suma a la lista de campañas de malware con motivación financiera provenientes de Brasil. Además, se ha revelado recientemente la exposición de las tácticas de un grupo de cibercriminales nigerianos que llevaron a cabo estafas financieras complejas entre 2011 y 2017, utilizando ataques de phishing para acceder a cuentas de correo electrónico corporativas y estafar a sus socios comerciales en una técnica conocida como compromiso de correo electrónico comercial.
Fuente: Ravie Lakshmanan
