Uma campanha que afeta principalmente instituições financeiras e organizações governamentais da América do Sul foi descoberta pela empresa de segurança Trend Micro. O alvo principal tem sido a Colômbia, segundo o blog da companhia, e as atividades aparentemente partem de um grupo envolvido em comprometimento de e-mail comercial ou cibercrime utilizando YOPMail. ✉️
A invasão do malware inicia quando um e-mail é enviado à vítima por meio de servidores abertos ou comprometidos. O atacante se conecta a esses servidores por meio de endereços IP que estão vinculados a nomes de domínio dinâmicos utilizados por um servidor command and control (C&C) pelos payloads enviados. Assim, o atacante utiliza a mesma infraestrutura para enviar e-mails e controlar as vítimas.
O remetente do e-mail geralmente é falsificado e os assuntos levam o destinatário a abrir o anexo, que é um arquivo RTF com uma linha de texto e um link. O texto está relacionado ao assunto do e-mail, e o link para o malware utiliza o encurtador de URL cort.as, que pertence ao jornal El País. Clicar no link redireciona a vítima a um arquivo infectado dentro de um serviço de compartilhamento de arquivos.
A Colômbia é o país mais visado para esse ataque, mas há outros na região adicionados à lista, já que o atacante utiliza a língua espanhola em todos os documentos de spear phishing observados. A Trend Micro também identificou que entre os alvos está o Brasil. ?
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.