Un acteur inconnu de la cybercriminalité a été observé ciblant des victimes hispanophones et lusophones pour compromettre des comptes bancaires en ligne au Mexique, au Pérou et au Portugal.

« Cet acteur menaçant utilise des tactiques telles que LOLBaS (binaires et scripts vivant hors de la terre), ainsi que des scripts basés sur CMD pour mener à bien ses activités malveillantes », a déclaré l’équipe de recherche et de renseignement de BlackBerry dans un rapport publié la semaine dernière.

La société de cybersécurité a attribué la campagne, baptisée Operation CMDStealerà un acteur menaçant brésilien sur la base d’une analyse des artefacts.

La chaîne d’attaque s’appuie principalement sur l’ingénierie sociale, en misant sur les e-mails portugais et espagnols contenant des leurres sur le thème des infractions fiscales ou routières pour déclencher les infections et obtenir un accès non autorisé aux systèmes des victimes.

Les e-mails sont accompagnés d’une pièce jointe HTML contenant du code obscurci pour récupérer la charge utile de l’étape suivante à partir d’un serveur distant sous la forme d’un fichier d’archive RAR.

Les fichiers, qui sont géolocalisés dans un pays spécifique, incluent un fichier .CMD, qui, à son tour, contient un script AutoIt conçu pour télécharger un script Visual Basic pour effectuer le vol de Microsoft Outlook et des données de mot de passe du navigateur.

Cybercriminels brésiliens

« Les scripts basés sur LOLBaS et CMD aident les pirates à éviter d’être détectés par les mesures de sécurité traditionnelles. Les scripts exploitent les outils et les commandes Windows intégrés, permettant à l’acteur de la menace d’échapper aux solutions de la plate-forme de protection des terminaux (EPP) et de contourner les systèmes de sécurité », a noté BlackBerry. .

Les informations récoltées sont retransmises au serveur de l’attaquant via une méthode de requête HTTP POST.

« Sur la base de la configuration utilisée pour cibler les victimes au Mexique, l’acteur de la menace s’intéresse aux comptes commerciaux en ligne, qui ont généralement un meilleur flux de trésorerie », a déclaré la société canadienne de cybersécurité.

Le développement est le dernier d’une longue série de campagnes de logiciels malveillants à motivation financière émanant du Brésil.

Les conclusions surviennent également alors qu’ESET a révélé les tactiques d’un réseau de cybercriminalité nigérian qui a exécuté des escroqueries complexes de fraude financière ciblant des individus, des banques et des entreprises sans méfiance aux États-Unis et ailleurs entre décembre 2011 et janvier 2017.

Pour réussir ces stratagèmes, les malfaiteurs ont utilisé des attaques de phishing pour obtenir l’accès aux comptes de messagerie d’entreprise et inciter leurs partenaires commerciaux à envoyer de l’argent sur des comptes bancaires contrôlés par des criminels, une technique appelée compromission de messagerie professionnelle.

A lire également