Пакистан стал последней мишенью злоумышленника под названием Smishing Triad, что стало первым расширением его присутствия за пределы ЕС, Саудовской Аравии, ОАЭ и США.
"Последняя тактика группы заключается в отправке вредоносных сообщений от имени Pakistan Post клиентам операторов мобильной связи через iMessage и SMS", - говорится в отчете Resecurity, опубликованном ранее на этой неделе. "Цель - украсть их личную и финансовую информацию".
Известно, что участники угрозы, предположительно говорящие на китайском языке, используют украденные базы данных, продаваемые в темной Сети, для отправки поддельных SMS-сообщений, побуждая получателей переходить по ссылкам под предлогом информирования их о неудачной доставке посылки и призывая их обновить свой адрес.
Пользователи, которые в конечном итоге нажимают на URL-адреса, перенаправляются на поддельные веб-сайты, которые предлагают им ввести свою финансовую информацию в рамках предполагаемой платы за обслуживание, взимаемой за повторную доставку.
"Помимо Pakistan Post, группа также участвовала в выявлении множества мошеннических операций с поддельными посылками", - сообщили в Resecurity. "Эти мошеннические действия в первую очередь были нацелены на физических лиц, которые ожидали законные посылки от авторитетных курьерских служб, таких как TCS, Leopard и FedEx".
Разработка началась после того, как Google раскрыл подробности об угрозе, которую он называет PINEAPPLE, которая использует приманки на налоговую и финансовую тематику в спам-сообщениях, чтобы побудить бразильских пользователей открывать вредоносные ссылки или файлы, которые в конечном итоге приводят к развертыванию вредоносного ПО для кражи информации Astaroth (он же Guildma).
"PINEAPPLE часто злоупотребляет законными облачными сервисами в своих попытках распространять вредоносное ПО среди пользователей в Бразилии", - сказал представитель Google Mandiant и группы анализа угроз (TAG). "Группа экспериментировала с рядом облачных платформ, включая Google Cloud, Amazon AWS, Microsoft Azure и другие".
Стоит отметить, что злоупотребление Google Cloud Run для распространения Astaroth было замечено Cisco Talos ранее в феврале этого года, описав это как крупномасштабную кампанию по распространению вредоносного ПО, нацеленную на пользователей в Латинской Америке (LATAM) и Европе.
Интернет-голиаф сообщил, что также обнаружил кластер угроз из Бразилии, который он отслеживает как UNC5176, нацеленный на финансовые услуги, здравоохранение, розничную торговлю и гостиничный сектор, с бэкдором под кодовым названием URSA, который может перекачивать учетные данные для входа в различные банки, веб-сайты с криптовалютами и почтовые клиенты.
Атаки используют электронные письма и кампании вредоносной рекламы в качестве векторов распространения ZIP-файла, содержащего файл HTML-приложения (HTA), который при открытии удаляет скрипт Visual Basic (VBS), отвечающий за связь с удаленным сервером и получение файла VBS второго этапа.
Впоследствии загруженный файл VBS выполняет серию проверок против изолированной среды и виртуальных машин, после чего он инициирует связь с сервером командования и управления (C2) для извлечения и выполнения полезной нагрузки URSA.
Google обратил внимание на третьего финансово мотивированного субъекта из Латинской Америки - FLUXROOT, который связан с распространением банковского трояна Grandoreiro. Компания заявила, что в 2023 году удалила фишинговые страницы, размещенные злоумышленником в Google Cloud, который выдавал себя за Mercado Pago с целью кражи учетных данных пользователей.
"Совсем недавно FLUXROOT продолжил распространение Grandoreiro, используя облачные сервисы, такие как Azure и Dropbox, для обслуживания вредоносного ПО", - говорится в сообщении.
Раскрытие информации последовало за появлением нового субъекта угрозы по имени Red Akodon, который был замечен в распространении различных троянов удаленного доступа, таких как AsyncRAT, Quasar RAT, Remcos RAT и XWorm, посредством фишинговых сообщений, предназначенных для сбора данных банковского счета, учетных записей электронной почты и других учетных данных.
Целями кампании, которая продолжается с апреля 2024 года, являются правительственные организации, организации здравоохранения и образования, а также финансовая, производственная, пищевая промышленность, сфера услуг и транспорт в Колумбии.
"Первоначальный вектор доступа Red Akodon осуществляется в основном с использованием фишинговых электронных писем, которые используются в качестве предлога для предполагаемых судебных исков и повесток в суд, по-видимому, поступающих от колумбийских учреждений, таких как Генеральная финансовая полиция Насьон и гражданский округ Боготы Juzgado 06", - сообщила мексиканская компания по кибербезопасности Scitum.
"Последняя тактика группы заключается в отправке вредоносных сообщений от имени Pakistan Post клиентам операторов мобильной связи через iMessage и SMS", - говорится в отчете Resecurity, опубликованном ранее на этой неделе. "Цель - украсть их личную и финансовую информацию".
Известно, что участники угрозы, предположительно говорящие на китайском языке, используют украденные базы данных, продаваемые в темной Сети, для отправки поддельных SMS-сообщений, побуждая получателей переходить по ссылкам под предлогом информирования их о неудачной доставке посылки и призывая их обновить свой адрес.
Пользователи, которые в конечном итоге нажимают на URL-адреса, перенаправляются на поддельные веб-сайты, которые предлагают им ввести свою финансовую информацию в рамках предполагаемой платы за обслуживание, взимаемой за повторную доставку.
"Помимо Pakistan Post, группа также участвовала в выявлении множества мошеннических операций с поддельными посылками", - сообщили в Resecurity. "Эти мошеннические действия в первую очередь были нацелены на физических лиц, которые ожидали законные посылки от авторитетных курьерских служб, таких как TCS, Leopard и FedEx".
Разработка началась после того, как Google раскрыл подробности об угрозе, которую он называет PINEAPPLE, которая использует приманки на налоговую и финансовую тематику в спам-сообщениях, чтобы побудить бразильских пользователей открывать вредоносные ссылки или файлы, которые в конечном итоге приводят к развертыванию вредоносного ПО для кражи информации Astaroth (он же Guildma).
"PINEAPPLE часто злоупотребляет законными облачными сервисами в своих попытках распространять вредоносное ПО среди пользователей в Бразилии", - сказал представитель Google Mandiant и группы анализа угроз (TAG). "Группа экспериментировала с рядом облачных платформ, включая Google Cloud, Amazon AWS, Microsoft Azure и другие".
Стоит отметить, что злоупотребление Google Cloud Run для распространения Astaroth было замечено Cisco Talos ранее в феврале этого года, описав это как крупномасштабную кампанию по распространению вредоносного ПО, нацеленную на пользователей в Латинской Америке (LATAM) и Европе.
Интернет-голиаф сообщил, что также обнаружил кластер угроз из Бразилии, который он отслеживает как UNC5176, нацеленный на финансовые услуги, здравоохранение, розничную торговлю и гостиничный сектор, с бэкдором под кодовым названием URSA, который может перекачивать учетные данные для входа в различные банки, веб-сайты с криптовалютами и почтовые клиенты.
Атаки используют электронные письма и кампании вредоносной рекламы в качестве векторов распространения ZIP-файла, содержащего файл HTML-приложения (HTA), который при открытии удаляет скрипт Visual Basic (VBS), отвечающий за связь с удаленным сервером и получение файла VBS второго этапа.
Впоследствии загруженный файл VBS выполняет серию проверок против изолированной среды и виртуальных машин, после чего он инициирует связь с сервером командования и управления (C2) для извлечения и выполнения полезной нагрузки URSA.
Google обратил внимание на третьего финансово мотивированного субъекта из Латинской Америки - FLUXROOT, который связан с распространением банковского трояна Grandoreiro. Компания заявила, что в 2023 году удалила фишинговые страницы, размещенные злоумышленником в Google Cloud, который выдавал себя за Mercado Pago с целью кражи учетных данных пользователей.
"Совсем недавно FLUXROOT продолжил распространение Grandoreiro, используя облачные сервисы, такие как Azure и Dropbox, для обслуживания вредоносного ПО", - говорится в сообщении.
Раскрытие информации последовало за появлением нового субъекта угрозы по имени Red Akodon, который был замечен в распространении различных троянов удаленного доступа, таких как AsyncRAT, Quasar RAT, Remcos RAT и XWorm, посредством фишинговых сообщений, предназначенных для сбора данных банковского счета, учетных записей электронной почты и других учетных данных.
Целями кампании, которая продолжается с апреля 2024 года, являются правительственные организации, организации здравоохранения и образования, а также финансовая, производственная, пищевая промышленность, сфера услуг и транспорт в Колумбии.
"Первоначальный вектор доступа Red Akodon осуществляется в основном с использованием фишинговых электронных писем, которые используются в качестве предлога для предполагаемых судебных исков и повесток в суд, по-видимому, поступающих от колумбийских учреждений, таких как Генеральная финансовая полиция Насьон и гражданский округ Боготы Juzgado 06", - сообщила мексиканская компания по кибербезопасности Scitum.
