Tehdit aktörü olarak bilinen TA558 Venom RAT'ı dağıtmak amacıyla Latin Amerika'da çok çeşitli sektörleri hedef alan yeni, büyük bir kimlik avı kampanyasına atfedildi.
Saldırılar öncelikle İspanya, Meksika, Amerika Birleşik Devletleri, Kolombiya, Portekiz, Brezilya, Dominik Cumhuriyeti ve Arjantin'deki otel, seyahat, ticaret, finans, imalat, sanayi ve hükümet dikeylerini hedef aldı.
En az 2018'den bu yana aktif olan TA558'in, Loda RAT, Vjw0rm ve Revenge RAT gibi çeşitli kötü amaçlı yazılımları dağıtmak için LATAM bölgesindeki varlıkları hedefleme geçmişi var.
Perception Point araştırmacısı Idan Tarab'a göre en son enfeksiyon zinciri, hassas verileri toplama ve sistemleri uzaktan ele geçirme yetenekleriyle birlikte gelen Quasar RAT'ın bir çatalı olan Venom RAT'ı bırakmak için ilk erişim vektörü olarak kimlik avı e-postalarından yararlanıyor.
Açıklama, geçen yıl QakBot'un kolluk kuvvetleri tarafından Avrupa ve ABD'deki finans kurumlarını hedef almak amacıyla devre dışı bırakılmasının ardından, tehdit aktörlerinin DarkGate kötü amaçlı yazılım yükleyicisini kullandığının giderek daha fazla gözlemlendiği bir dönemde geldi.
EclecticIQ araştırmacısı Arda Büyükkaya, “Fidye yazılımı grupları, ilk dayanak noktası oluşturmak ve kurumsal ağlarda çeşitli kötü amaçlı yazılım türlerini dağıtmak için DarkGate'i kullanıyor” dedi.
“Bunlar bilgi hırsızlarını, fidye yazılımlarını ve uzaktan yönetim araçlarını içerir ancak bunlarla sınırlı değildir. Bu tehdit aktörlerinin amacı, virüslü cihazların sayısını ve kurbandan sızdırılan veri hacmini artırmaktır.”
Bu aynı zamanda FakeUpdates (aka SocGholish), Nitrogen ve Rhadamanthys gibi kötü amaçlı yazılım dağıtmak için tasarlanmış kötü amaçlı reklam kampanyalarının ortaya çıkmasının da ardından geliyor.
Bu ayın başlarında İsrailli reklam güvenliği şirketi GeoEdge, ScamClub olarak takip edilen kötü şöhretli bir kötü amaçlı reklam grubunun “odak noktasını kötü amaçlı video reklam saldırılarına kaydırdığını ve bunun 11 Şubat 2024'ten bu yana VAST zorlamalı yönlendirme hacimlerinde artışa yol açtığını” ortaya çıkardı.
Saldırılar, video reklamcılık için kullanılan Video Reklam Sunma Şablonları (VAST) etiketlerinin, şüphelenmeyen kullanıcıları sahtekarlık veya dolandırıcılık sayfalarına yönlendirmek için, ancak yalnızca belirli istemci tarafı ve sunucu tarafı parmak izi alma tekniklerinin başarılı bir şekilde geçmesi durumunda kötü niyetli kullanımını gerektirir.
Kurbanların çoğunluğu ABD'de (%60,5), onu Kanada (%7,2), İngiltere (%4,8), Almanya (%2,1) ve Malezya (%1,7) takip ediyor.