El malware CMDStealer, activo desde agosto de 2022, está afectando a empresas y personas de habla portuguesa e hispana y ha sido detectado hasta el momento en Perú, Portugal y México, utilizando como punto de entrada el phishing a través de correo electrónico en idioma español y portugués.
Las tácticas de este malware financiero han llamado la atención por ser avanzadas, utilizando entre otras, LOLBaS (Living Off the Binaries and Scripts) para lograr su cometido contra la seguridad cibernética.
Este malware financiero es la principal amenaza en América Latina, y esta campaña es muestra de ello. La elección de esta región no es aleatoria y responde a su alta adopción de la banca en línea, lo que la convierte en un blanco atractivo para actividades fraudulentas relacionadas con el sector financiero.
La cadena de ataque se fundamenta en la ingeniería social: utiliza el envío de correos electrónicos para engañar a los usuarios con señuelos asociados a multas de tráfico o información fiscal importante que se encuentra adjunta en archivos HTML. Al abrir el archivo, se desencadena un proceso de descarga y ejecución del malware en el ordenador infectado.
Uno de sus script utilizados: LoLBaS (Living Off The Land Binaries And Scripts) hace referencia a piezas de scripts, archivos o bibliotecas ejecutables existentes en el sistema operativo o provenientes de fuentes de confianza. Esto permite al malware moverse internamente como si fuera parte benigna en el sistema, dificultando su detección.
Su principal objetivo una vez dentro es extraer contraseñas y datos del correo electrónico de la organización, así como las contraseñas que haya guardado el usuario en el navegador Chrome.
Es fundamental encontrar un equilibrio adecuado para prever ataques cibernéticos. Una estrategia de ciberdefensa integral nos puede ayudar a entender cuál es el ajuste que cada organización debe adoptar para prevenir y mitigar este y otros tipos de ataque. Estrategias como ZeroTrust deben ser abordadas desde este enfoque para permitir que la continuidad operacional de la empresa no se vea deteriorada por una gestión de ciberseguridad altamente restrictiva.
El principal método de prevención es lograr que los colaboradores comprendan los riesgos y posean conciencia de su rol en la seguridad a través de programas online de concientización y capacitación que los lleve a operar bajo una conducta que aporte a la ciberdefensa.
A continuación compartimos algunos indicadores de compromiso asociados a registros de este ataque para que puedan ser cargados en plataformas de seguridad:
Además, se recomienda bloquear los siguientes dominios asociados a este ataque:
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
https://thehackernews.com/2023/06/brazilian-cybercriminals-using-lolbas.html
https://blogs.blackberry.com/en/2023/05/cmdstealer-targets-portugal-peru-and-mexico
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1608/