O agente da ameaça conhecido como Asylum Ambuscade foi observado abrangendo operações de cibercrime e ciberespionagem desde pelo menos o início de 2020.

O grupo visa clientes bancários e comerciantes de criptomoedas em várias regiões, incluindo América do Norte e Europa.

Os ataques começam com um e-mail de spear phishing com um anexo malicioso de planilha do Excel que, quando aberto, explora o código VBA ou a vulnerabilidade Follina (CVE-2022-30190) para baixar um pacote MSI de um servidor remoto.

O que é notável sobre o Asylum Ambuscade é sua onda de crimes cibernéticos que já fez mais de 4.500 vítimas em todo o mundo desde janeiro de 2022, com a maioria delas localizada na América do Norte, Ásia, África, Europa e América do Sul.

Embora um aspecto dos ataques seja projetado para roubar criptomoedas, o direcionamento de pequenas e médias empresas provavelmente é uma tentativa de monetizar o acesso vendendo-o a outros grupos cibercriminosos para obter lucros ilícitos.

A cadeia de comprometimento segue um padrão semelhante, exceto o vetor de intrusão inicial, que envolve o uso de um Google Ad desonesto ou um sistema de direção de tráfego (TDS) para redirecionar vítimas em potencial para um site falso que fornece um arquivo JavaScript com malware.