O Paquistão tornou-se o mais recente alvo de um grupo hacker conhecido como Smishing Triad, marcando a primeira expansão de suas operações além da União Europeia, Arábia Saudita, Emirados Árabes Unidos e Estados Unidos.
De acordo com um relatório publicado esta semana pela Resecurity, a mais recente tática do grupo envolve o envio de mensagens maliciosas em nome do Pakistan Post para clientes de operadoras móveis via iMessage e SMS. O objetivo é roubar informações pessoais e financeiras dos destinatários.
Os hackers, que se acredita serem de origem chinesa, utilizam bancos de dados comercializados na dark web para enviar mensagens SMS falsas. Essas mensagens enganam os destinatários, fazendo-os acreditar que precisam atualizar seus endereços devido a uma falha na entrega de uma encomenda.
Os usuários que clicam nos links dessas mensagens são direcionados para websites falsos que solicitam informações financeiras, sob o pretexto de cobrar uma taxa de serviço pelo reenvio da mercadoria.
"Ao lado do Pakistan Post, o grupo também foi identificado em múltiplos esquemas de entregas falsas," informou a Resecurity. "Esses golpes visavam principalmente pessoas esperando entregas legítimas de empresas de delivery como TCS, Leopard e FedEx."
O Google revelou detalhes de um hacker conhecido como PINEAPPLE, que usa temas fiscais e financeiros em mensagens de spam para atrair usuários brasileiros a abrir links ou arquivos maliciosos que levam à instalação do malware Astaroth (também conhecido como Guildma).
"PINEAPPLE utiliza com certa frequencia serviços de nuvem legítimos em suas tentativas de distribuir o malware aos usuários no Brasil," disseram Mandiant e Threat Analysis Group (TAG) do Google. "O grupo experimentou diversas plataformas de nuvem, incluindo Google Cloud, Amazon AWS, Microsoft Azure e outras."
É importante notar que a utilização de serviços em nuvem como Google Cloud Run para disseminar Astaroth foi identificado pela Cisco Talos em fevereiro deste ano, descrito como uma campanha de distribuição de malware de alto volume visando usuários na América Latina (LATAM) e Europa.
Além disso, o Google identificou um cluster malicioso baseado no Brasil, identificado como UNC5176, que tem como alvo empresas do setor de serviços financeiros, saúde, varejo e hospitalidade com um backdoor de codinome URSA, capaz de roubar credenciais de login para vários bancos de dados, corretoras de criptomoedas e contas de e-mail.
Os ataques utilizam e-mails e campanhas de malvertising como vetores de distribuição para um arquivo ZIP contendo um arquivo malicioso que, quando aberto, executa um Script Visual Basic (VBS) responsável por se comunicar com um servidor remoto e buscar um segundo arquivo VBS.
O arquivo VBS baixado realiza uma série de verificações de anti-sandbox e anti-VM antes de iniciar comunicações com um servidor de comando e controle (C2) para recuperar e executar o URSA.
Um terceiro hacker baseado na América Latina destacado pelo Google é o FLUXROOT, vinculado à distribuição do trojan bancário Grandoreiro. A empresa relatou ter removido páginas de phishing hospedadas pelo hacker em 2023 no Google Cloud, que se passavam pelo Mercado Pago visando roubar credenciais dos usuários.
"Mais recentemente, o FLUXROOT continuou a distribuição do Grandoreiro, usando serviços de nuvem como Azure e Dropbox para fornecer o malware," informou o Google.
A divulgação segue o surgimento de um novo hacker, apelidado de Red Akodon, que vem propagando vários trojans de acesso remoto, como AsyncRAT, Quasar RAT, Remcos RAT e XWorm, por meio de mensagens de phishing projetadas para colher detalhes de contas bancárias, contas de e-mail e outras credenciais.
Os alvos da campanha, que está em andamento desde abril de 2024, incluem organizações governamentais, de saúde e educação, bem como indústrias financeiras, de manufatura, alimentícias, de serviços e de transporte na Colômbia.
"O vetor inicial de acesso do Red Akodon ocorre principalmente por meio de e-mails de phishing, usados como pretexto para supostas ações judiciais e intimações, aparentemente provenientes de instituições colombianas, como a Fiscalía General de la Nación e o Juzgado 06 civil del circuito de Bogotá," informou a empresa mexicana de cibersegurança Scitum.
Via - THN
Comentarios