Eerste Access Brokers richten zich op Brazilië-execs via NF-E spam en legitieme RMM-proeven

Cyberbeveiliging
Eerste Access Brokers richten zich op Brazilië-execs via NF-E spam en legitieme RMM-proeven

Cybersecurity-onderzoekers waarschuwen voor een nieuwe campagne die zich richt op Portugese sprekende gebruikers in Brazilië met proefversies van commerciële externe monitoring en management (RMM) software sinds januari 2025.

“Het SPAM-bericht maakt gebruik van het Braziliaanse elektronische factuursysteem, NF-E, als een kunstaas om gebruikers te verleiden te klikken op hyperlinks en toegang te krijgen tot kwaadwillende inhoud die wordt gehost in Dropbox,” zei Cisco Talos-onderzoeker Guilherme Venere in een donderdagrapport.

De aanvalsketens beginnen met speciaal vervaardigde spam -e -mails die beweren afkomstig te zijn van financiële instellingen of mobiele telefoons, waarschuwing voor achterstallige rekeningen of uitstekende betalingen om gebruikers te laten klikken op nepbox -links die wijzen op een binaire installateur voor de RMM -tool.

Twee opmerkelijke RMM-tools zijn N-ABLE RMM Remote Access en PDQ Connect, waardoor aanvallers de mogelijkheid krijgen om bestanden te lezen en te schrijven naar het externe bestandssysteem.

In sommige gevallen gebruiken de dreigingsactoren vervolgens de externe mogelijkheden van deze agenten om een ​​extra RMM -software zoals ScreenConnect te downloaden en te installeren na het eerste compromis.

Op basis van de gewone ontvangers is gebleken dat de campagne zich voornamelijk richt op C-level leidinggevenden en financiële en human resources-account in verschillende industrieën, waaronder enkele onderwijs- en overheidsinstellingen.

Het is ook met veel vertrouwen beoordeeld dat de activiteit het werk is van een initiële toegangsmakelaar (IAB) die de gratis proefperioden misbruikt die verband houden met verschillende RMM -programma’s om ongeautoriseerde toegang te krijgen. N-ABLE heeft sindsdien stappen ondernomen om de getroffen proefrekeningen uit te schakelen.

“Het misbruik van de tegenstanders van commerciële RMM -tools is de afgelopen jaren gestaag toegenomen,” zei Venere. “Deze tools zijn interessant voor dreigingsactoren omdat ze meestal digitaal worden ondertekend door erkende entiteiten en een volledig uitgelichte achterdeur zijn.”

“Ze hebben ook weinig tot geen kosten in software of infrastructuur, omdat dit allemaal meestal wordt verstrekt door de proefversie -applicatie.”

De ontwikkeling komt te midden van de opkomst van verschillende phishing -campagnes die zijn ontworpen om moderne verdedigingen te omzeilen en een breed scala aan malwarefamilies te verspreiden, of de referenties van slachtoffers te verzamelen –

  • Een campagne uitgevoerd door een Zuid -Amerikaanse cybercrime -groep genaamd Hive0148 om de Grandoreiro Banking Trojan te distribueren onder gebruikers in gebruikers in Mexico en Costa Rica.
  • Een campagne die gebruik maakt van een legitieme service voor het delen van bestanden genaamd GetShared om beveiligingsbescherming te omzeilen en gebruikers te leiden naar links hosting malware
  • Een campagne die lokt voor verkooporde-thema gebruikt om de Formbook Malware te leveren door middel van een Microsoft Word-document dat vatbaar is voor een jaren oude fout in vergelijking-editor (CVE-2017-11882)
  • Een campagne die gericht is op organisaties in Spanje, Italië en Portugal met behulp van factuurgerelateerde thema’s om een ​​op Java gebaseerde externe toegang te implementeren met de naam Ratty Rat die externe commando’s, logtekens, opnames van screenshots en steelgevoelige gegevens kan uitvoeren.
  • Een campagne die gebruik maakt van een legitieme notitie-applicatie die bekend staat als Milanote en een tegenstander-in-the-midden (AITM) phishing-kit genaamd Tycoon 2FA om de referenties van gebruikers vast te leggen onder het mom van het bekijken van een “nieuwe overeenkomst”
  • Campagnes die gecodeerd JavaScript gebruiken in SVG-bestanden, booby-gevangen links in PDF-bijlagen, dynamische phishing-URL’s die worden weergegeven tijdens runtime in OneDrive-gehost bestanden en gearchiveerde MHT-payloads binnen OpenXML-structuren om gebruikers te sturen naar Credential Harvesting Orhishing Pagina
  • Campagnes die misbruiken van CloudFlare’s TryCloudFlare -tunnelingfunctie om malware zoals asyncrat te implementeren

“Aanvallers ontwikkelen continu tactieken om moderne e -mail- en eindpuntbeveiligingsoplossingen te omzeilen, waardoor het detecteren en verminderen van phishing -pogingen steeds moeilijker,” merkte de onderzoeker van Intezer Yuval Guri vorige maand op. “En ondanks vooruitgang in cybersecurity -tools, bereiken veel phishing -campagnes nog steeds met succes de inboxen van gebruikers.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Threads was bedoeld als slechts een Instagram -functie

Italiaanse prijsvergelijkingssite slaat Google met € 3 miljard rechtszaak

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]