Peneliti cybersecurity memperingatkan kampanye baru yang menargetkan pengguna berbahasa Portugis di Brasil dengan versi percobaan perangkat lunak pemantauan dan manajemen jarak jauh komersial (RMM) sejak Januari 2025.
“Pesan spam menggunakan sistem faktur elektronik Brasil, NF-E, sebagai umpan untuk menarik pengguna untuk mengklik hyperlink dan mengakses konten berbahaya yang di-host di Dropbox,” kata peneliti Cisco Talos Guilherme Venere dalam laporan Kamis.
Rantai serangan dimulai dengan email spam yang dibuat khusus yang mengklaim berasal dari lembaga keuangan atau operator ponsel, peringatan tagihan yang sudah lewat atau pembayaran yang beredar untuk menipu pengguna agar mengklik tautan dropbox palsu yang menunjuk ke pemasang biner untuk alat RMM.
Dua alat RMM terkenal yang diamati adalah akses jarak jauh RMM dan PDQ Connect, memberikan penyerang kemampuan untuk membaca dan menulis file ke sistem file jarak jauh.
Dalam beberapa kasus, para aktor ancaman kemudian menggunakan kemampuan jarak jauh dari agen -agen ini untuk mengunduh dan menginstal perangkat lunak RMM tambahan seperti Screenconnect setelah kompromi awal.
Berdasarkan penerima umum yang diamati, kampanye ini telah ditemukan untuk menargetkan eksekutif tingkat-C dan rekening keuangan dan sumber daya manusia di beberapa industri, termasuk beberapa lembaga pendidikan dan pemerintah.
Juga telah dinilai dengan keyakinan tinggi bahwa kegiatan tersebut adalah pekerjaan broker akses awal (IAB) yang menyalahgunakan periode uji coba gratis yang terkait dengan berbagai program RMM untuk mendapatkan akses yang tidak sah. N-mampu telah mengambil langkah-langkah untuk menonaktifkan rekening percobaan yang terpengaruh.
“Penyalahgunaan musuh terhadap alat RMM komersial terus meningkat dalam beberapa tahun terakhir,” kata Venere. “Alat -alat ini menarik bagi para aktor ancaman karena biasanya ditandatangani secara digital oleh entitas yang diakui dan merupakan pintu belakang yang sepenuhnya ditampilkan.”
“Mereka juga memiliki sedikit atau tidak ada biaya dalam perangkat lunak atau infrastruktur, karena semua ini umumnya disediakan oleh aplikasi versi percobaan.”
Perkembangan ini muncul di tengah munculnya berbagai kampanye phishing yang direkayasa untuk menghindari pertahanan modern dan menyebarkan berbagai keluarga malware, atau mengumpulkan kredensial korban –
- Kampanye yang dilakukan oleh kelompok kejahatan dunia maya Amerika Selatan yang disebut Hive0148 untuk mendistribusikan Grandoreiro Banking Trojan kepada pengguna di pengguna di Meksiko dan Kosta Rika.
- Kampanye yang menggunakan layanan berbagi file yang sah bernama Getshared to Bypass Security Protections dan mengarahkan pengguna ke tautan malware hosting
- Kampanye yang menggunakan umpan bertema pesanan penjualan untuk mengirimkan malware FormBook dengan menggunakan dokumen Microsoft Word yang rentan terhadap cacat tahun yang berusia bertahun-tahun (CVE-2017-11882)
- Kampanye yang menargetkan organisasi di Spanyol, Italia, dan Portugal menggunakan tema terkait faktur untuk menggunakan Trojan Remote Access berbasis Java bernama Ratty Rat yang dapat menjalankan perintah jarak jauh, penekanan tombol log, menangkap tangkapan layar, dan mencuri data yang sensitif
- Kampanye yang menggunakan aplikasi pencatatan yang sah yang dikenal sebagai Milanote dan kit phishing musuh di tengah-tengah (AITM) yang dijuluki Tycoon 2FA untuk menangkap kredensial pengguna dengan kedok melihat “perjanjian baru”
- Kampanye yang memanfaatkan javascript yang dikodekan dalam file SVG, tautan yang terperangkap booby dalam lampiran PDF, URL phishing dinamis yang diterjemahkan saat runtime di dalam file yang di-host onedrive, dan payload MHT diarsip
- Kampanye yang menyalahgunakan fitur tunneling trycloudflare Cloudflare untuk menggunakan malware seperti asyncrat
“Penyerang terus -menerus mengembangkan taktik untuk memotong email modern dan solusi keamanan titik akhir, membuat mendeteksi dan meringankan upaya phishing semakin sulit,” kata peneliti Intezer Yuval Guri bulan lalu. “Dan meskipun ada kemajuan dalam alat cybersecurity, banyak kampanye phishing masih berhasil mencapai kotak masuk pengguna.”
