Nova onda de ataques de malware têm como alvos empresas Sul-Americanas

Uma campanha de spear-phishing atribuída ao APT Blind Eagle (APT-C-36) que tem como alvo organizações sul-americanas, vem reformulando sua técnicas para incluir uma ampla gama de Trojans de Acesso Remoto (RATs) e filtragem de geolocalização – com objetivo de evitar detecção.

Enviado, incialmente, através de e-mails fraudulentos que se passavam por agencias governamentais Colombianas, a cadeia de infecção inicia-se quando a vítima abre um documento Word ou PDF que finge ser um pedido de apreensão relacionado a sua conta bancária e clica no link que foi gerado a partir de um serviço de encurtador de URLs.

Pesquisadores dizem que o APT-C-36 seleciona seus alvos baseado em localização e, provavelmente, na situação financeira destinatário do e-mail.

Principalmente espalhada por e-mails fraudulentos disfarçados de agências do governo colombiano, como a Diretoria Nacional de Impostos e Alfândegas (DIAN), a cadeia de infecção começa quando os destinatários da mensagem abrem um PDF ou documento do Word falso que afirma ser um pedido de apreensão vinculado ao seu contas bancárias e clicam em um link que foi gerado a partir de um serviço encurtador de URL como cort.as, acortaurl.com e gtly.to.

“Esses encurtadores de URL são capazes de segmentação geográfica, então se um usuário de um país não visado pelos agentes da ameaça clicar no link, ele será redirecionado para um site legítimo”, detalhou os pesquisadores da Trend Micro em um relatório publicado na semana passada. “Os encurtadores de URL também têm a capacidade de detectar os principais serviços VPN, nesse caso, o link encurtado leva os usuários a um site legítimo em vez de redirecioná-los para o link malicioso.”

Caso a vítima atenda aos critérios de localização, o usuário é redirecionado para um servidor de hospedagem de arquivos, e um arquivo protegido por senha é baixado automaticamente, cuja senha é especificada no e-mail ou anexo, levando à execução de um C ++ – trojan de acesso remoto baseado em BitRAT, que apareceu pela primeira vez em agosto de 2020.

Vários setores, incluindo governo, financeiro, saúde, telecomunicações e energia, petróleo e gás, foram afetados, com a maioria das metas para a última campanha localizada na Colômbia e uma fração menor também vindo do Equador, Espanha e Panamá.

“O APT-C-36 seleciona seus alvos com base na localização e, provavelmente, na situação financeira do destinatário do e-mail”, disseram os pesquisadores. “Isso, e a prevalência dos e-mails, nos levam a concluir que o objetivo final do ator da ameaça é o ganho financeiro, em vez de espionagem.”

Fonte: thehackernews.com

Posts relacionados: Atacantes abusam de recurso inocente do Windows 10 para infectar máquinas / Novo malware se esconde entre as exclusões do Windows Defender para evitar detecção e Microsoft lança serviço gratuito de detecção de malware forense e rootkit do Linux