“Die Bedrohungslage in Südamerika ist sehr unübersichtlich. Das liegt vor allem daran, dass die Aufmerksamkeit der Weltöffentlichkeit für die Entwicklung bösartiger Kampagnen in dieser Region begrenzt ist”, sagt ESET-Forscher Camilo Gutierrez aus Buenos Aires, Argentinien, der die bösartigen Kampagnen untersucht hat.
“Wir haben uns daher bemüht, die weniger bekannten Cyberbedrohungen in Lateinamerika zu erforschen, die dennoch Auswirkungen auf die globale Situation haben. Die archäologischen Ausgrabungen des Grabes von König Tut haben Licht auf das Leben der alten Ägypter geworfen, daher haben wir unsere Initiative Operation ‘King TUT’ genannt.”
In einem Paper blicken die ESET-Forscher auf verschiedene Kampagnen zurück, die zwischen 2019 und 2023 auf die LATAM-Region abzielten. Die überwiegende Mehrheit der Entdeckungen im Zusammenhang mit diesen cyberkriminellen Aktivitäten fand in Lateinamerika statt und wird nicht mit globaler Crimeware in Verbindung gebracht. Da jede dieser Operationen ihre eigenen Merkmale aufweist und sie nicht mit einem einzelnen Bedrohungsakteur in Verbindung zu stehen scheinen, ist es sehr wahrscheinlich, dass mehrere Akteure beteiligt sind.
Die ESET-Analyse ergab eine bemerkenswerte Verschiebung von einfacher Crimeware hin zu komplexeren Bedrohungen. Vor allem stellten die Forscher eine Änderung der Ziele fest: Der Fokus liegt nicht mehr auf der breiten Öffentlichkeit, sondern auf lukrativere Ziele, einschließlich Unternehmen und Regierungsbehörden. Diese Bedrohungsakteure aktualisieren ihre Tools ständig und führen verschiedene Umgehungstechniken ein, um den Erfolg ihrer Kampagnen zu erhöhen. Auch wenn die überwiegende Mehrheit der Opfer in der LATAM-Region zu finden sind, haben sich dieser Kampagnen in einigen Fällen auch auf Länder außerhalb der Region ausgeweitet.
“Unsere Analyse zeigt, dass die meisten Kampagnen in der Region auf Unternehmensanwender abzielen, einschließlich des Regierungssektors. Dabei setzten die Angreifer hauptsächlich Spearphishing-Mails ein, um potenzielle Opfer zu erreichen. Die Hacker geben sich in diesen Nachrichten oft als anerkannte Organisationen in bestimmten Ländern der Region aus, insbesondere als Regierungs- oder Steuerbehörden”, sagt Gutierrez.
Die bei diesen Angriffen beobachtete Präzision deutet auf ein hohes Maß an Zielgenauigkeit hin, was darauf schließen lässt, dass die Bedrohungsakteure detaillierte Kenntnisse über ihre beabsichtigten Opfer haben. Bei diesen Kampagnen verwenden die Angreifer bösartige Komponenten wie Downloader und Dropper, die meist in PowerShell und VBS erstellt werden. Hinsichtlich der Tools, die bei diesen bösartigen Operationen in Lateinamerika eingesetzt werden, zeigen die Beobachtungen von ESET eine Vorliebe für Trojaner mit Fernzugriff.
www.eset.com/de/