LOLBas и CMD — основные методы злоумышленников в данной операции.
https://www.securitylab.ru/upload/ib...6cvwtbq4yx.jpg
Компания BlackBerry выявила новую киберпреступную кампанию, направленную против испаноязычных и португалоязычных жителей Мексики, Перу и Португалии. Цель злоумышленников — получить доступ к онлайн-банкингу жертв и похитить их денежные средства.
По данным исследователей, хакеры используют такие тактики, как LOLBaS-атаки , а также скрипты командной строки для выполнения своих злонамеренных действий. Кампанию окрестили «Operation CMDStealer» и приписали бразильской киберпреступной группировке.
Основным способом заражения жертв является социальная инженерия на основе фишинга. Хакеры рассылают электронные письма на испанском или португальском языке с файлами-ловушками, связанными с налогами или нарушениями ПДД. HTML-файл, прикреплённый к письмам, содержит обфусцированный код для загрузки следующего этапа атаки с удалённого сервера хакеров в виде RAR-архива.
RAR-архив включает в себя CMD-скрипт, который, в свою очередь, содержит AutoIt-скрипт, загружающий VBScript для кражи данных о паролях почтового клиента Microsoft Outlook, а также веб-браузера. Вот такой вот «бутерброд» из скриптов приготовили хакеры. А вся собранная информация передаётся на сервер киберпреступников с помощью метода HTTP POST.
«LOLBaS и скрипты на основе CMD помогают злоумышленникам избежать обнаружения традиционными средствами безопасности. Скрипты используют встроенные в Windows инструменты и команды, позволяя хакерам уклониться от решений для защиты конечных точек (EPP) и обойти системы безопасности», — отметили в BlackBerry.
«На основе конфигурации, используемой для атаки жертв в Мексике, хакеры заинтересованы в бизнес-счетах, которые обычно имеют наибольший денежный поток», — добавили исследователи.
По словам экспертов, такие киберпреступные кампании зачастую представляют серьёзную угрозу для безопасности и финансового благополучия как простых пользователей банковских сервисов, так и целых организаций. Поэтому главные рекомендации, чтобы не стать жертвой подобных атак — быть бдительными и использовать надёжные средства защиты от фишинга и вредоносных программ.