Observatorio de Amenazas

CAMPAÑA CMDSTEALER: LA NUEVA ESTAFA BANCARIA POR INTERNET

Escrito por Marcelo Carvajal | 13-06-23

El malware CMDStealer, activo desde agosto de 2022, está afectando a empresas y personas de habla portuguesa e hispana y ha sido detectado hasta el momento en Perú, Portugal y México, utilizando como punto de entrada el phishing a través de correo electrónico en idioma español y portugués.

Las tácticas de este malware financiero han llamado la atención por ser avanzadas, utilizando entre otras, LOLBaS  (Living Off the Binaries and Scripts) para lograr su cometido contra la seguridad cibernética.

Este malware financiero es la principal amenaza en América Latina, y esta campaña es muestra de ello. La elección de esta región no es aleatoria y responde a su alta adopción de la banca en línea, lo que la convierte en un blanco atractivo para actividades fraudulentas relacionadas con el sector financiero.

Tácticas de acceso inicial y ejecución del malware

La cadena de ataque se fundamenta en la ingeniería social: utiliza el envío de correos electrónicos para engañar a los usuarios con señuelos asociados a multas de tráfico o información fiscal importante que se encuentra adjunta en archivos HTML. Al abrir el archivo, se desencadena un proceso de descarga y ejecución del malware en el ordenador infectado.

Uno de sus script utilizados: LoLBaS (Living Off The Land Binaries And Scripts) hace referencia a piezas de scripts, archivos o bibliotecas ejecutables existentes en el sistema operativo o provenientes de fuentes de confianza. Esto permite al malware moverse internamente como si fuera parte benigna en el sistema, dificultando su detección.

Su principal objetivo una vez dentro es extraer contraseñas y datos del correo electrónico de la organización, así como las contraseñas que haya guardado el usuario en el navegador Chrome.

Prevención y mitigación

Es fundamental encontrar un equilibrio adecuado para prever ataques cibernéticos. Una estrategia de ciberdefensa integral nos puede ayudar a entender cuál es el ajuste que cada organización debe adoptar para prevenir y mitigar este y otros tipos de ataque. Estrategias como ZeroTrust deben ser abordadas desde este enfoque para permitir que la continuidad operacional de la empresa no se vea deteriorada por una gestión de ciberseguridad altamente restrictiva.

El principal método de prevención es lograr que los colaboradores comprendan los riesgos y posean conciencia de su rol en la seguridad a través de programas online de concientización y capacitación que los lleve a operar bajo una conducta que aporte a la ciberdefensa.

IoC de la campaña CMDStealer

A continuación compartimos algunos indicadores de compromiso asociados a registros de este ataque para que puedan ser cargados en plataformas de seguridad:

  • f6e84e43323ed9d8531fa2aeeb3c181c8f84fcbe950ce6dcdd8c3fa0b02c6cc0
  • 0a277e51598ef364d5e0006817d32487eb9c0a3c150b7169cbc0bb7348088e63
  • 2d87b9b071ace9f2ebfa33c1c0c21202f39876b312e135a491bf57ba731b798c
  • 40017793f40a192b1dfdfc960742dd539b19fee9b15213307c8319fd88eee57f
  • cb1d1f039c07bd03b6eb14248a897dcefdefc28ae6f523b7c6f549c3c155640b

Además, se recomienda bloquear los siguientes dominios asociados a este ataque:

  • http://publicpressmagazine[.]com
  • http://websylvania[.]com
  • https://multa-ansr-pt[.]fun
  • https://factura61[.].click
  • https://sunat-pe[.]fun

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

    • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
    • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.

Fuentes

https://thehackernews.com/2023/06/brazilian-cybercriminals-using-lolbas.html

https://blogs.blackberry.com/en/2023/05/cmdstealer-targets-portugal-peru-and-mexico

https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1608/

https://www.matricedigitale.it/notizie/cybercriminali-brasiliani-utilizzano-lolbas-e-script-cmd-per-svuotare-conti-bancari/

https://cyware.com/news/brazilian-threat-actor-targets-spanish-and-portuguese-speaking-users-187f3af0/?web_view=true

https://fr.techtribune.net/securite/les-cybercriminels-bresiliens-utilisent-les-scripts-lolbas-et-cmd-pour-vider-les-comptes-bancaires/728450/