Ciberdelincuentes desconocidos se han dirigido a víctimas de habla hispana y portuguesa para comprometer cuentas bancarias online en México, Perú y Portugal.
«Este actor de amenazas emplea tácticas como LOLBaS (living-off-the-land binaries and scripts), junto con scripts basados en CMD para llevar a cabo sus actividades maliciosas», señaló el Equipo de Investigación e Inteligencia de BlackBerry en un informe publicado la semana pasada.
La empresa de ciberseguridad atribuyó la campaña, bautizada como Operación CMDStealer, a un actor de amenazas brasileño basándose en un análisis de los artefactos.
La cadena de ataques se basa principalmente en la ingeniería social y recurre a correos electrónicos en portugués y español que contienen señuelos relacionados con infracciones fiscales o de tráfico para desencadenar las infecciones y obtener acceso no autorizado a los sistemas de las víctimas.
Los correos electrónicos vienen con un archivo HTML adjunto que contiene código ofuscado para obtener la carga útil de la siguiente fase desde un servidor remoto en forma de archivo RAR.
Los archivos, que están geolocalizados en un país concreto, incluyen un archivo .CMD que, a su vez, alberga un script AutoIt diseñado para descargar un script Visual Basic y llevar a cabo el robo de datos de contraseñas de Microsoft Outlook y del navegador.
«Los scripts basados en LOLBaS y CMD ayudan a los actores de amenazas a evitar ser detectados por las medidas de seguridad tradicionales. Los scripts aprovechan las herramientas y comandos incorporados de Windows, lo que permite al actor de la amenaza evadir las soluciones de la plataforma de protección de puntos finales (EPP) y eludir los sistemas de seguridad», señaló BlackBerry.
La información recopilada se transmite de vuelta al servidor del atacante a través de un método de solicitud HTTP POST.
«Basado en la configuración utilizada para atacar a las víctimas en México, el actor de la amenaza está interesado en cuentas de negocios en línea, que por lo general tienen un mejor flujo de efectivo», dijo la compañía canadiense de ciberseguridad.
Se trata de la última de una larga lista de campañas de malware con motivaciones económicas procedentes de Brasil.