El equipo de investigación e inteligencia de BlackBerry comunicó que un actor de amenazas desconocido con motivaciones financieras, muy probablemente de Brasil, está apuntando a víctimas de habla hispana y portuguesa, con el objetivo de robar el acceso a la banca en línea.

El actor de amenazas emplea tácticas como LOLBaS (Living Off the Land Binaries and Scripts), junto con scripts basados ​​en CMD para llevar a cabo sus actividades maliciosas, además de utilizar correos electrónicos de phishing en portugués y español, y tácticas de ingeniería social para dirigirse a las víctimas, haciéndose pasar por entidades autorizadas o agencias gubernamentales.

Enlace: https://blogs.blackberry.com/en/2023/05/cmdstealer-targets-portugal-peru-and-mexico

Es importante detallar algunos aspectos fundamentales, principalmente para los que no están familiarizados con los términos anteriores:

  • El término «vivir de la tierra» (LOL) fue acuñado por los investigadores de malware Christopher Campbell y Matt Greaber para explicar el uso de herramientas de sistema preinstaladas y confiables para propagar malware.
  • Existen algunos tipos diferentes de técnicas LOL, incluidos LOLBins, que utilizan archivos binarios de Windows para ocultar actividades maliciosas; LOLLibs, que utilizan bibliotecas; y LOLScripts, que usan scripts.
  • LOLBaS (Living Off the Land Binaries and Scripts) es un proyecto (Matt Greaber – Oddvar Moe) que funciona como una lista dinámica mantenida por la comunidad de infosec, donde se agregan las herramientas o programas con este tipo de características.
  • Las técnicas de “LOL” han evolucionado y pasaron de utilizarse en contextos de actividades de post-explotación, a ser parte de la carga útil de compromiso inicial.
  • Los ataques sin archivos (fileless) a menudo (pero no siempre) incorporan técnicas LOL porque funcionan sin escribir archivos en el disco o en el sistema de archivos, lo que los ayuda a pasar desapercibidos durante más tiempo.

Si bien en este caso se trataría de un actor de amenazas “desconocido”, existen antecedentes de grupos y malware conocidos que han utilizado este tipo de técnicas, por ejemplo:

MITRE ATT&CK

TA505https://attack.mitre.org/groups/G0092/
POSHSPYhttps://attack.mitre.org/software/S0150/
POWRUNERhttps://attack.mitre.org/software/S0184/
ASTAROTHhttps://attack.mitre.org/software/S0373/

Para más información: https://www.welivesecurity.com/la-es/2019/12/05/fileless-malware-que-es-como-funciona-malware-sin-archivos/

Finalmente, se destaca que un análisis con mayor profundidad exige considerar que, en esta parte del mundo, el phishing continúa siendo el vector de acceso inicial más prolífico, con sus lógicas consecuencias, y que muchas veces, también en la Ciberseguridad:

“lo esencial es invisible a los ojos”

Antoine de Saint-Exupéry

Fuentes:

< https://blogs.blackberry.com/en/2023/05/cmdstealer-targets-portugal-peru-and-mexico&gt;

< https://www.cynet.com/attack-techniques-hands-on/what-are-lolbins-and-how-do-attackers-use-them-in-fileless-attacks/&gt;

< https://blog.segu-info.com.ar/2018/10/lolbas-coleccion-de-scripts-para.html&gt;