Ciberseguridad 360 | Cibercriminales brasileros usan secuencia de comandos LOLBaS y CMD para robar cuentas bancarias

Se ha observado que un actor desconocido de amenazas cibern�ticas se dirige a v�ctimas de habla hispana y portuguesa para comprometer cuentas bancarias en l�nea en M�xico, Per� y Portugal.

?Este actor de amenazas emplea t�cticas como LOLBaS (binarios y secuencias de comandos que viven fuera de la tierra), junto con secuencias de comandos basadas en CMD para llevar a cabo sus actividades maliciosas?, dijo el equipo de investigaci�n e inteligencia de BlackBerry en un informe publicado la semana pasada .

La empresa de ciberseguridad atribuy� la campa�a, denominada Operaci�n CMD Stealer , a un actor de amenazas brasile�o seg�n un an�lisis de los artefactos.

La cadena de ataque aprovecha principalmente la ingenier�a social, apostando por correos electr�nicos portugueses y espa�oles que contienen se�uelos relacionados con infracciones fiscales o de tr�nsito para desencadenar las infecciones y obtener acceso no autorizado a los sistemas de las v�ctimas.

Los correos electr�nicos vienen equipados con un archivo adjunto HTML que contiene un c�digo ofuscado para obtener la carga �til de la siguiente etapa desde un servidor remoto en forma de archivo RAR.

Los archivos, que est�n geocercados a un pa�s espec�fico, incluyen un archivo .CMD que, a su vez, alberga un script de AutoIt que est� dise�ado para descargar un script de Visual Basic para llevar a cabo el robo de Microsoft Outlook y los datos de la contrase�a del navegador.

"Los scripts basados ??en LOLBaS y CMD ayudan a los actores de amenazas a evitar la detecci�n por las medidas de seguridad tradicionales. Los scripts aprovechan las herramientas y los comandos integrados de Windows, lo que permite al actor de amenazas evadir las soluciones de la plataforma de protecci�n de puntos finales (EPP) y eludir los sistemas de seguridad", se�al� BlackBerry.

La informaci�n recopilada se transmite de vuelta al servidor del atacante a trav�s de un m�todo de solicitud HTTP POST.

?Seg�n la configuraci�n utilizada para atacar a las v�ctimas en M�xico, el actor de amenazas est� interesado en las cuentas comerciales en l�nea, que generalmente tienen un mejor flujo de efectivo?, dijo la compa��a canadiense de ciberseguridad.

Fuente: thehackernews.com