Nuevo grupo de piratas informáticos dirigido a empresas con ataques cibernéticos motivados financieramente

Ataque de malware

Los investigadores de seguridad han rastreado las actividades de un nuevo grupo de piratas informáticos motivados financieramente que se dirigen a varias empresas y organizaciones en Alemania, Italia y los Estados Unidos en un intento de infectarlos con malware de puerta trasera, troyano bancario o ransomware.

Aunque las nuevas campañas de malware no están personalizadas para cada organización, los actores de amenazas parecen estar más interesados ​​en las empresas, los servicios de TI, la fabricación y las industrias de atención médica que poseen datos críticos y probablemente pueden pagar altos pagos de rescate.

Según un informe que ProofPoint compartió con The Hacker News, los actores de amenazas recién descubiertos están enviando correos electrónicos de bajo volumen haciéndose pasar por entidades gubernamentales relacionadas con las finanzas con evaluación de impuestos y reembolsos de correos electrónicos atraídos a organizaciones específicas.

«Las campañas de correo electrónico con temas fiscales apuntan a los contribuyentes de 2019, los señuelos relacionados con las finanzas se han utilizado estacionalmente con aumentos en el malware relacionado con los impuestos y las campañas de phishing que conducen a los plazos de presentación de impuestos anuales en diferentes geografías», dijeron los investigadores.

Nuevas campañas de malware detectadas en la naturaleza

En casi todas las campañas de correo electrónico de spear-phishing observadas por los investigadores entre el 16 de octubre y el 12 de noviembre de este año, los atacantes utilizaron archivos adjuntos de documentos de Word maliciosos como vector inicial para comprometer el dispositivo.

programa malicioso de macros de microsoft word

Una vez abierto, el documento malicioso ejecuta un script de macro para ejecutar comandos maliciosos de PowerShell, que finalmente descarga e instala una de las siguientes cargas útiles en el sistema de la víctima:

  • laberinto ransomware,
  • troyano bancario IcedID,
  • Puerta trasera Cobalt Strike.

«Al abrir el documento de Microsoft Word y habilitar las macros, se instala el ransomware Maze en el sistema del usuario, se cifran todos sus archivos y se guarda una nota de rescate similar a la siguiente en formato TXT en cada directorio».

Además de utilizar la ingeniería social, para que sus correos electrónicos de phishing selectivo sean más convincentes, los atacantes también utilizan dominios similares, palabrería y marcas robadas para hacerse pasar por:

  • Bundeszentralamt fur Steuern, el Ministerio Federal de Finanzas de Alemania,
  • Agenzia Delle Entrate, la Agencia Tributaria italiana,
  • 1 & 1 Internet AG, un proveedor de servicios de Internet alemán,
  • USPS, el Servicio Postal de los Estados Unidos.

«Campañas similares que aprovechan las agencias gubernamentales locales también se observaron en Alemania e Italia. Estos señuelos de ingeniería social indican que los ciberdelincuentes en general se están volviendo más convincentes y sofisticados en sus ataques».

«Aunque estas campañas tienen un volumen pequeño, actualmente son significativas por su abuso de marcas confiables, incluidas las agencias gubernamentales, y por su expansión relativamente rápida en múltiples geografías. Hasta la fecha, el grupo parece haberse dirigido a organizaciones en Alemania, Italia, y, más recientemente, los Estados Unidos, entregando cargas útiles geodirigidas con señuelos en los idiomas locales «, dijo a The Hacker News Christopher Dawson, líder de inteligencia de amenazas en Proofpoint.

«Observaremos de cerca a este nuevo actor, dadas sus aparentes aspiraciones globales, ingeniería social bien elaborada y escala en constante aumento».

¿Cómo protegerse de los ataques cibernéticos basados ​​en correo electrónico?

Pensó que la mayoría de las herramientas y técnicas utilizadas por este nuevo grupo no son ni nuevas ni sofisticadas; desafortunadamente, sigue siendo una de las formas más exitosas en que los delincuentes penetran en una organización.

Las mejores formas de proteger su computadora contra tales ataques son tan simples como seguir prácticas básicas de ciberseguridad en línea, como:

  • Deshabilite la ejecución de macros en archivos de Office,
  • Mantenga siempre una copia de seguridad periódica de sus datos importantes,
  • Asegúrese de ejecutar uno de los mejores programas antivirus en su sistema,
  • No abra archivos adjuntos de correo electrónico de fuentes desconocidas o no confiables,
  • No haga clic en los enlaces de fuentes desconocidas.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática