В 2024 году латиноамериканская киберпреступность претерпела значительные изменения: злоумышленники совершенствуют свои тактики, методы и процедуры (TTP), чтобы обойти защиту и расширить свои операции. Семейства вредоносных программ, такие как Mispadu, Kiron, Caiman, Culebra, Salve и Astaroth, были обновлены, а разработчики перешли на современные языки программирования, такие как Rust, чтобы улучшить возможности уклонения и затруднить анализ.
Описание
Банковский троян под названием Mispadu, управляемый SAMBA SPIDER, распространялся через фишинговые кампании, выдающие себя за мексиканскую систему электронных счетов, с использованием дроппера HTA с обфусцированным VBScript для выполнения программы-загрузчика. Kiron, также известный как Grandoreiro, был интегрирован с NestoLoader и перешел на загрузчики на основе Rust, что свидетельствует о сотрудничестве и совместном опыте злоумышленников из стран Латинской Америки. Разработчики Kiron также представили расширение для кражи браузера и новые функции кражи, направленные на сбор пользовательских данных. Семейство вредоносных программ, известное как Caiman, применяет передовые методы обфускации строк, используя сочетание кодировки Base64, генератора псевдослучайных чисел и пользовательского алгоритма на основе XOR для сложной дешифровки строк.
Culebra, идентифицированная как Mekotio, усовершенствовала свой компонент загрузчика с помощью пакетных и PowerShell-скриптов, расширив возможности разведки системы и обновив протокол связи. Вредоносное семейство Salve, идентифицированное как Casbaneiro, после некоторого перерыва возобновило активность с загрузчиком на основе Rust, что свидетельствует об экспериментах с новыми языками программирования. Кроме того, семейство вредоносных программ Astaroth сосредоточилось на мелких доработках, включая новую обфускацию строк и обновление протокола C2. Несмотря на эти нововведения, компоненты на базе Delphi, как ожидается, останутся распространенными благодаря своей надежности и использованию в операциях с вредоносными программами. Киберпреступники из стран Латинской Америки постоянно совершенствуют свои инструменты и проводят успешные кампании по борьбе с электронной преступностью, ориентируясь в первую очередь на испано- и португалоязычных клиентов финансовых учреждений в регионе.
Indicators of Compromise
IPv4
- 147.45.116.5
- 191.55.53.136
IPv4 Port Combinations
- 84.246.85.94:7890
Domains
- 162.200.178.68.host.secureserver.net
- contpt.top
- lovecollege.hosthampster.com
- massgrave.site
URLs
- http://108.165.96.26:8080/19b.zip
- http://38.54.57.26/lu/conta.php
- https://162.200.178.68.host.secureserver.net/g1
- https://adjunto.pdfxml.store//6725c86d7fae4/js/6725c86d7fa55.js
- https://api.cacher.io/raw/e9972f773263412223fe/d5186951e0cbbf25c69b/a
- https://contpt.top/g2
- https://contpt.top/gZS74/N5LbsD5852.vbs
- https://contpt.top/ROmRv22/AGSfA782.js
- https://public.adobecc.com/files/1CBZREKGR3QFQLNIAB3CPYSQNZAFFF?content_disposition=attachment;filename=%22Upload_20240311-130634.zip
SHA256
- 07a58395e20090f139eb0cb3aa1872da4fae8c1630de818a405d3329a7406150
- 0f035dced631ac58cfae510cfc61bb1dbef119331a8aea8d5c724a5ddca0f8c5
- 129971e378991d14c444db7a7f4c9a16ece750dd6498261d2f35c85baa9bfd07
- 148cd318aec19451b9ad17e58e0d97ebaffd46b56d3528608de20b95dd429c45
- 15899e250892c2cc6b38d7cdcd2a3934a49c5dca954889564a98d15a52bf3b7c
- 2776c052d11f52501871c4cb5a051a1970f002c3f099969040945fb94a158d9a
- 27f482377777a1b8e1e679863685f64121f28e1e6e2bba832397269d1763e118
- 3972d6c85bb37889265fef3bb3b3ed8494e038ca37e345a515e39b3e95766a50
- 46b8e68f5e85935349d0bfc555b9786f7adbac9ec9a9fa174ba0c4f89baa098f
- 57e76a7af5bafb4ff06f5f44dcf1182ea5c6a8682651c260f555c52fd441b412
- 5d74d439bbb0be789e23bdaafd8cff938e6e686af7c8e215dc945cacc88d131c
- 5f6c0ba669db489bc2ff186af312bfe7616f9e4a12706e195225da7168e10db0
- 60b32e40ec0a5e59081fa9816a26346892899175ce97c811761423c3533e0651
- aec68d256d8d2caf2d94c5944279806dd4da36d125c7a7d1485c89f718d0db15
- b23aabe16db5f6ccdd061b457d01b94647ed5b5852806624dca277b43d63e188
- ba4e715fe25aeaaf186e8395c2f13ca580457ab4e8ec1c037fd13821d97a6848
- bbf766df1972966b0ab3928d82c61d953e849638bb2c0bab60df3ad8aaacf174
- d7a918b29b4423b2a4be151f1b37c28abc081068c13a04ad8fd70dbd725d659b
- fc258ef827620184253ba37d94efc0043745c29cf3c9f21a6c730f7727d6d076