Il Pakistan è diventato l’ultimo bersaglio di un gruppo di criminali informatici chiamato Smishing Triad, segnando la prima espansione della sua attività al di fuori dell’UE, dell’Arabia Saudita, degli Emirati Arabi Uniti e degli Stati Uniti.
Grandoreiro, in cosa consiste questo trojan
“L’ultima tattica del gruppo consiste nell’inviare messaggi dannosi a nome di Pakistan Post ai clienti dei carrier mobili tramite iMessage e SMS“, ha detto Resecurity in un rapporto pubblicato all’inizio di questa settimana. “L’obiettivo è rubare le loro informazioni personali e finanziarie.“, ovviamente il tutto per mettere in circolazione il trojan bancario Grandoreiro, classica strategia dei link ingannevoli.
Si ritiene che i criminali informatici, ritenuti di lingua cinese, sfruttino database rubati venduti sul dark web per inviare messaggi SMS falsi, invitando i destinatari a cliccare su link con il pretesto di informarli di una mancata consegna di un pacco e sollecitandoli ad aggiornare il loro indirizzo.
Gli utenti che finiscono per cliccare sui link con Grandoreiro al suo interno vengono indirizzati a siti web falsi che chiedono di inserire le loro informazioni finanziarie come parte di una presunta tassa di servizio addebitata per la riconsegna.
È così che viene messo in circolo Grandoreiro, sostanzialmente.
“Oltre a Pakistan Post, il gruppo è stato anche coinvolto nel rilevamento di molteplici truffe di pacchi di consegna falsi“, ha detto Resecurity. “Queste truffe prendevano di mira principalmente individui che aspettavano pacchi legittimi da servizi di corriere reputati come TCS, Leopard e FedEx.”
Grandoreiro non è, tuttavia, l’unica minaccia informatica
Grandoreiro non è il solo trojan bancario a circolare; lo sviluppo della vicenda, infatti, arriva mentre Google ha rivelato i dettagli di un altro gruppo di criminali informatici che corrisponde al nome di PINEAPPLE che impiega esche a tema fiscale e finanziario nei messaggi spam per invogliare gli utenti brasiliani ad aprire link o file dannosi che alla fine portano al dispiegamento del malware Astaroth (noto anche come Guildma), che ruba informazioni.
“PINEAPPLE spesso abusa dei servizi cloud legittimi nei loro tentativi di distribuire malware agli utenti in Brasile“, hanno detto il Mandiant e il Threat Analysis Group (TAG) di Google. “Il gruppo ha sperimentato una serie di piattaforme cloud, tra cui Google Cloud, Amazon AWS, Microsoft Azure e altre.”
Vale la pena notare che l’abuso di Google Cloud Run per diffondere Astaroth è stato segnalato da Cisco Talos all’inizio di febbraio, descrivendolo come una campagna di distribuzione malware ad alto volume che prende di mira gli utenti in America Latina (LATAM) e in Europa.
Il colosso di internet ha detto di aver anche osservato un cluster di minacce informatiche con base in Brasile che traccia come UNC5176 e che prende di mira i settori dei servizi finanziari, sanitario, retail e ospitalità con una backdoor chiamata URSA che può sottrarre credenziali di accesso per vari siti bancari, di criptovalute e client di posta elettronica.
Link ingannevoli, anche tramite pubblicità ingannevoli
Gli attacchi sfruttano email e campagne di malvertising come vettori di distribuzione per un file ZIP contenente un file HTML Application (HTA) che, una volta aperto, rilascia uno script Visual Basic (VBS) responsabile del contatto con un server remoto e del recupero di un file VBS di seconda fase.
Il file VBS scaricato procede successivamente a eseguire una serie di controlli anti-sandbox e anti-VM, dopodiché inizia le comunicazioni con un server di comando e controllo (C2) per recuperare ed eseguire il payload URSA.
Un terzo in comodo finanziariamente motivato con base in America Latina evidenziato da Google è FLUXROOT, che è collegato alla distribuzione del trojan bancario Grandoreiro; l’azienda ha detto di aver rimosso pagine di phishing ospitate dall’avversario nel 2023 su Google Cloud che impersonavano Mercado Pago con l’obiettivo di rubare le credenziali degli utenti.
“Più recentemente, FLUXROOT ha continuato la distribuzione di Grandoreiro, utilizzando servizi cloud come Azure e Dropbox per servire il malware“, ha detto Google.
La rivelazione segue l’emergere di un nuovo gruppo di hacker soprannominato Red Akodon, che è stato visto propagare vari trojan di accesso remoto come AsyncRAT, Quasar RAT, Remcos RAT e XWorm tramite messaggi di phishing progettati per raccogliere dettagli dei conti bancari, account email e altre credenziali.
I bersagli della campagna, in corso da aprile 2024, includono organizzazioni governative, sanitarie ed educative, nonché settori finanziari, manifatturieri, alimentari, dei servizi e dei trasporti in Colombia.
“Il vettore di accesso iniziale di Red Akodon avviene principalmente tramite email di phishing, utilizzate come pretesto per presunte cause legali e convocazioni giudiziarie, apparentemente provenienti da istituzioni colombiane come la Fiscalía General de la Nación e il Juzgado 06 civil del circuito di Bogotá“, ha detto la società di sicurezza informatica messicana Scitum.
