Recherche ESET
Les chercheurs d’ESET révèlent une sophistication croissante des menaces affectant la région LATAM en employant des techniques d’évasion et un ciblage de grande valeur.
17 octobre 2023
•
,
3 minutes. lire
Tout comme la vie et la disparition mystérieuse du pharaon Toutankhamon, également connu sous le nom de roi Toutankhamon, le paysage des menaces en Amérique latine (LATAM) reste entouré de mystère. Cela est principalement dû à l’attention mondiale limitée portée à l’évolution des campagnes malveillantes dans la région. Même si des événements notables comme Attaques de distributeurs automatiquesle chevaux de Troie bancaires nés au Brésilet le Cyberespionnage à la machette opérations ont fait l’objet d’une couverture médiatique, nous sommes conscients qu’il y a plus à dire.
Parallèlement à la façon dont les fouilles archéologiques de la tombe du roi Toutankhamon ont mis en lumière la vie égyptienne antique, nous avons entrepris un voyage pour nous pencher sur les cybermenaces moins médiatisées affectant les pays d’Amérique latine. Notre initiative, baptisée Operation King TUT (The Universe of Threats), cherchait à explorer cet important paysage de menaces. Le 5 octobre, nous avons présenté les résultats de notre analyse comparative au Conférence Virus Bulletin 2023: le document complet de la conférence peut être lu ici.
Dans l’analyse, nous avons choisi de revenir sur diverses campagnes documentées publiquement ciblant la région LATAM entre 2019 et 2023, comme le montre la chronologie ci-dessous. Toutes ces activités cybercriminelles sont détectées exclusivement en Amérique latine et ne sont pas associées à des logiciels criminels mondiaux. Étant donné que chacune de ces opérations a ses propres caractéristiques et ne semble liée à aucun acteur menaçant connu, il est fort probable que plusieurs acteurs soient en jeu.
Nos recherches ont révélé une évolution notable des logiciels criminels simplistes et opportunistes vers des menaces plus complexes. Nous avons notamment observé une transition dans le ciblage, passant d’une approche axée sur le grand public vers des utilisateurs de haut niveau, notamment des entreprises et des entités gouvernementales. Ces acteurs malveillants mettent continuellement à jour leurs outils, en introduisant différentes techniques d’évasion pour augmenter le succès de leurs campagnes. En outre, ils ont étendu leur activité de logiciels criminels au-delà de l’Amérique latine, à l’image de la tendance observée dans chevaux de Troie bancaires nés au Brésil.
Notre comparaison montre également que la majorité des campagnes malveillantes observées dans la région sont dirigées vers les utilisateurs d’entreprise, y compris les secteurs gouvernementaux, en utilisant principalement des e-mails de spearphishing pour atteindre des victimes potentielles, se faisant souvent passer pour des organisations reconnues dans des pays spécifiques de la région, en particulier gouvernementaux ou fiscaux. entités.
La précision et la spécificité observées dans ces attaques indiquent un niveau élevé de ciblage, indiquant que les auteurs de la menace ont une connaissance détaillée de leurs victimes prévues. Dans ces campagnes, les attaquants utilisent des composants malveillants tels que des téléchargeurs et des droppers, principalement créés en PowerShell et VBS.
Concernant les outils utilisés dans ces opérations malveillantes en Amérique latine, nos observations indiquent une préférence pour les RAT, notamment des familles njRAT et AsyncRAT. De plus, dans les campagnes ciblant principalement les entités gouvernementales, nous avons identifié l’utilisation d’autres familles de logiciels malveillants comme Bandook et Remcos, quoique dans une moindre mesure.
Sur la base des conclusions résultant de notre comparaison, nous pensons qu’il existe plus d’un groupe derrière la prolifération de ce type de campagnes et que ces groupes étudient activement différentes techniques et moyens pour que leurs campagnes soient aussi réussies que possible. En outre, nous pensons que les disparités socio-économiques qui prévalent en Amérique latine peuvent influencer le mode opératoire des attaquants dans cette région, bien que cet aspect particulier dépasse le cadre de nos recherches. Le document complet de la conférence VB2023 sur l’opération King TUT est disponible ici.
Des indicateurs agrégés de compromission (IoC) sont disponibles sur notre dépôt GitHub.
Pour toute demande de renseignements sur nos recherches publiées sur WeLiveSecurity, veuillez nous contacter à [email protected].
ESET Research propose des rapports de renseignement et des flux de données APT privés. Pour toute demande de renseignements sur ce service, visitez le Intelligence des menaces ESET page.
