Un attore di minaccia cybercriminale sconosciuto è stato osservato mentre prendeva di mira vittime di lingua spagnola e portoghese per compromettere i conti bancari online in Messico, Perù e Portogallo. “Questo attore di minaccia impiega tattiche come LOLBaS (living-off-the-land binaries and scripts), insieme a script basati su CMD per svolgere le sue attività malevole”, ha dichiarato il team di ricerca e intelligence di BlackBerry in un rapporto pubblicato la scorsa settimana.
L’operazione CMDStealer
La società di cybersecurity ha attribuito la campagna, denominata Operation CMDStealer, a un attore di minaccia brasiliano basandosi sull’analisi degli artefatti. La catena di attacco si basa principalmente sull’ingegneria sociale, sfruttando email in portoghese e spagnolo contenenti esche tematiche fiscali o relative a violazioni del codice della strada per innescare le infezioni e ottenere accesso non autorizzato ai sistemi delle vittime.
Come funziona l’attacco
Le email sono dotate di un allegato HTML che contiene codice offuscato per recuperare il payload della fase successiva da un server remoto sotto forma di file di archivio RAR. I file, che sono geofenced per un paese specifico, includono un file .CMD, che a sua volta ospita uno script AutoIt che è progettato per scaricare uno script Visual Basic per effettuare il furto dei dati di password di Microsoft Outlook e del browser.
L’effetto degli script LOLBaS e CMD
“LOLBaS e gli script basati su CMD aiutano gli attori di minaccia a evitare il rilevamento da parte delle misure di sicurezza tradizionali. Gli script sfruttano gli strumenti e i comandi integrati di Windows, permettendo all’attore di minaccia di eludere le soluzioni di protezione dell’endpoint (EPP) e di bypassare i sistemi di sicurezza”, ha notato BlackBerry. Le informazioni raccolte vengono trasmesse al server dell’attaccante tramite un metodo di richiesta HTTP POST.