Ssylka

Как мошенники атакуют бразильских руководителей через поддельные налоговые уведомления?

Группа хакеров, специализирующаяся на первичном доступе к корпоративным сетям, проводит активную кампанию против португалоговорящих пользователей в Бразилии с января 2025 года. Согласно отчету исследователя Гильерме Венере из Cisco Talos, опубликованному в четверг, основными мишенями стали руководители C-уровня, сотрудники финансовых и HR-отделов различных организаций, включая образовательные и правительственные учреждения.
Как мошенники атакуют бразильских руководителей через поддельные налоговые уведомления?
Изображение носит иллюстративный характер

Злоумышленники используют спам-рассылки, имитирующие сообщения от финансовых учреждений, операторов сотовой связи и бразильской системы электронных счетов-фактур (NF-e). В письмах содержатся ложные уведомления о просроченных платежах или неоплаченных счетах, а также вредоносные ссылки на Dropbox, ведущие к установщикам инструментов удаленного управления (RMM).

Хакеры эксплуатируют легитимные RMM-инструменты, включая N-able RMM Remote Access, PDQ Connect и ScreenConnect, который устанавливается после первичного компромисса. Эти инструменты предоставляют атакующим возможность читать и записывать файлы на удаленных системах, а также загружать и устанавливать дополнительное программное обеспечение.

Аналитики классифицируют данную группу как брокеров первичного доступа (IAB), которые специализируются на получении несанкционированного доступа к корпоративным сетям с последующей продажей этого доступа другим киберпреступникам. Примечательно, что злоумышленники эксплуатируют бесплатные пробные периоды коммерческих RMM-инструментов, что позволяет им избежать затрат на инфраструктуру. Компания N-able уже отреагировала на инциденты, отключив затронутые пробные учетные записи.

Инструменты RMM привлекательны для киберпреступников по нескольким причинам: они имеют цифровую подпись признанных организаций, функционируют как полноценные бэкдоры и могут использоваться бесплатно в пробном режиме, что обеспечивает готовую инфраструктуру для атак.

Параллельно с этой кампанией исследователи отмечают активность и других фишинговых групп. Южноамериканская киберпреступная группа Hive0148 распространяет банковский троян Grandoreiro, нацеленный на пользователей в Мексике и Коста-Рике. Кампания GetShared использует легитимный сервис обмена файлами для обхода средств безопасности и перенаправления пользователей на вредоносные ссылки.

Другие актуальные кампании включают распространение вредоносного ПО Formbook через фишинговые письма, связанные с заказами на продажу, с эксплуатацией уязвимости Microsoft Equation Editor (CVE-2017-11882). Кампания Ratty RAT, нацеленная на пользователей в Испании, Италии и Португалии, использует темы, связанные со счетами, для доставки Java-троянов удаленного доступа, способных выполнять удаленные команды, регистрировать нажатия клавиш, делать скриншоты и похищать данные.

Фишинговая кампания Tycoon 2FA использует легитимное приложение для заметок Milanote и фишинговые наборы типа «злоумышленник в середине», маскируясь под уведомления о «новых соглашениях». Технически сложные кампании применяют закодированный JavaScript в SVG-файлах, ссылки-ловушки в PDF-вложениях, динамические фишинговые URL-адреса в файлах OneDrive и архивированные MHT-полезные нагрузки в структурах OpenXML.

Отдельного внимания заслуживает кампания, эксплуатирующая функцию туннелирования TryCloudflare для доставки вредоносного ПО AsyncRAT. По словам исследователя Intezer Юваля Гури, «атакующие постоянно развивают свои тактики для обхода средств безопасности, что делает обнаружение фишинга все более сложной задачей».


Новое на сайте

15790Сколько лет древним деревянным копьям из Шёнингена: новый взгляд на находку? 15789Языковая революция: шимпанзе используют сложные языковые конструкции подобно людям 15788Зеленые защитники земли: удивительный мир растений 15787Северокорейские хакеры совершенствуют вредоносное по OtterCookie для кражи криптовалютных... 15786FDA расширяет палитру натуральных пищевых красителей 15785Как физика помогает стать мастером снукера? 15784Женщины-воительницы викингов: новые открытия меняют представления о роли женщин в обществе 15783Почему мы знаем так мало о дне океанов? 15782Как шимпанзе используют ритм в общении? 15781Как шимпанзе становятся барабанщиками: что раскрывает их чувство ритма о нашей эволюции? 15780Почему отменили гастроли вампирской пьесы Джека торна по Великобритании? 15779Может ли ИИ предсказать вашу биологическую возраст по селфи? 15778Набор инструментов Craftsman VERSASTACK со скидкой 50%: идеальное предложение перед днем... 15777Столкновение на дороге: спектакль "точка кипения" о ярости и социальном...