Субъекту угрозы, известному как TA558, приписывают новую масштабную фишинговую кампанию, нацеленную на широкий спектр секторов в Латинской Америке с целью внедрения Venom RAT.
Атаки в основном были направлены на гостиничные, туристические, торговые, финансовые, производственные и правительственные вертикали в Испании, Мексике, Соединенных Штатах, Колумбии, Португалии, Бразилии, Доминиканской Республике и Аргентине.
TA558, действующий как минимум с 2018 года, имеет историю того, что нацеливался на организации в регионе LATAM для распространения различных вредоносных программ, таких как Loda RAT, Vjw0rm и Revenge RAT.
Последняя цепочка заражения, по словам исследователя Perception Point Идана Тараба, использует фишинговые электронные письма в качестве начального средства доступа к drop Venom RAT, ответвлению Quasar RAT, которое обладает возможностями собирать конфиденциальные данные и удаленно управлять системами.
Раскрытие происходит в связи с тем, что после того, как в прошлом году правоохранительные органы заблокировали QakBot, все чаще наблюдалось использование злоумышленниками загрузчика вредоносного ПО DarkGate, нацеленного на финансовые учреждения в Европе и США.
"Группы программ-вымогателей используют DarkGate для создания начального плацдарма и развертывания различных типов вредоносных программ в корпоративных сетях", - отметила исследователь EclecticIQ Арда Бююккая.
"К ним относятся, но не ограничиваются ими, похитители информации, программы-вымогатели и инструменты удаленного управления. Цель этих участников угрозы - увеличить количество зараженных устройств и объем данных, получаемых от жертвы."
Это также следует за появлением рекламных кампаний, направленных на распространение вредоносных программ, таких как FakeUpdates (он же SocGholish), Nitrogen и Rhadamanthys.
Ранее в этом месяце израильская компания по безопасности рекламы GeoEdge сообщила, что печально известная группа злоумышленников, отслеживаемая как ScamClub, "переключила свое внимание на атаки с использованием вредоносной рекламы на видео, что привело к резкому росту ОГРОМНЫХ объемов принудительных перенаправлений с 11 февраля 2024 года".
Атаки включают в себя злонамеренное использование тегов шаблонов показа видеорекламы (VAST), которые используются для видеорекламы, для перенаправления ничего не подозревающих пользователей на мошеннические страницы, но только после успешного прохождения определенных клиентских и серверных методов снятия отпечатков пальцев.
Большинство жертв находятся в США (60,5%), за ними следуют Канада (7,2%), Великобритания (4,8%), Германия (2,1%) и Малайзия (1,7%), среди прочих.
