O ator de ameaças conhecido como TA558 foi associado a uma nova e massiva campanha de phishing que visa uma ampla gama de setores na América Latina com o objetivo de implantar o Venom RAT.
Os ataques visaram principalmente os setores de hotelaria, viagens, comércio, finanças, manufatura, indústria e governamental na Espanha, México, Estados Unidos, Colômbia, Portugal, Brasil, República Dominicana e Argentina.
Ativo desde pelo menos 2018, o TA558 tem um histórico de direcionar entidades na região LATAM para entregar uma variedade de malwares, como Loda RAT, Vjw0rm e Revenge RAT.
A cadeia de infecção mais recente, de acordo com o pesquisador da Perception Point, Idan Tarab, utiliza e-mails de phishing como um vetor de acesso inicial para disseminar o Venom RAT, um fork do Quasar RAT que possui capacidades para coletar dados sensíveis e controlar sistemas remotamente.
Essa revelação surge em um momento em que os atores de ameaças têm sido observados cada vez mais utilizando o carregador de malwares DarkGate após a desmontagem pela força da lei do QakBot no ano passado para visar instituições financeiras na Europa e nos EUA.
"Grupos de ransomware utilizam o DarkGate para criar um ponto de apoio inicial e para implantar vários tipos de malware em redes corporativas," destacou o pesquisador da EclecticIQ, Arda Büyükkaya.
"Isso inclui, mas não se limita a, ladrões de informações, ransomware e ferramentas de gerenciamento remoto.
O objetivo desses atores de ameaças é aumentar o número de dispositivos infectados e o volume de dados exfiltrados de uma vítima."
Também segue a emergência de campanhas de malvertising projetadas para entregar malwares como FakeUpdates (também conhecido como SocGholish), Nitrogênio e Rhadamanthys.
No início deste mês, a empresa israelense de segurança em publicidade GeoEdge revelou que um notório grupo de malvertising rastreado como ScamClub "mudou seu foco para ataques de malvertising em vídeo, resultando em um aumento nos volumes de redirecionamentos forçados pelo VAST desde 11 de fevereiro de 2024."
Os ataques envolvem o uso malicioso de tags Video Ad Serving Templates (VAST) – que são usadas para publicidade em vídeo – para redirecionar usuários desavisados para páginas fraudulentas ou de golpe, mas apenas após a passagem bem-sucedida de certas técnicas de fingerprinting do lado do cliente e do servidor.
A maioria das vítimas está localizada nos EUA (60,5%), seguida pelo Canadá (7,2%), Reino Unido (4,8%), Alemanha (2,1%) e Malásia (1,7%), entre outros.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...