Un nuevo grupo delictivo se mueve en la red acometiendo estafas financieras a
usuarios y empresas.
TA866
se diferencia de otros grupos de atacantes en que realiza capturas de pantalla
en los dispositivos de sus víctimas antes de instalarles un bot o
stealer malicioso.
Estas conclusiones se han podido extraer a raíz del
último estudio presentado por los investigadores de Proofpoint, quienes entre octubre de 2022 y enero de 2023 han analizado cómo se
comportan los integrantes de TA866. La campaña
FINTEAM de abril de 2019
descrita por
Check Point
y
Trend Micro
incluía un archivo adjunto denominado «Military Financing.xlsm».
Una vez que han entrado en los dispositivos, los hackers se dedican a grabar y
a hacer «pantallazos» de la actividad de sus potenciales víctimas, y si les
interesa la información obtenida, es cuando proceden a infectarlos. Son
ataques muy meditados y a escala que les permite obtener servicios de otros
proveedores.
En octubre,
TA866 envió un número exacto de correos electrónicos, siendo los meses de noviembre y diciembre en los que se registró un aumento
en el envío de mensajes y en las estafas acometidas. Los envíos, normalmente
de archivos de Publisher, se realizaban una o dos veces por semana al
principio para luego llegar a realizarse una media de cuatro envíos semanales.
Ya a principios de 2023 se percibió un descenso considerable en la frecuencia
de las campañas, aunque la cantidad de emails enviados siguió aumentando,
siendo los días 23 y 24 de enero los de mayor actividad.
Entre las actividades más recientes llevadas a cabo por TA866 destaca las
realizadas en marzo de 2022, cuando se dirigieron a diferentes miembros de
gobiernos europeos involucrados en los movimientos de refugiados después de la
guerra de Ucrania. Por las líneas de código que han detectado los
investigadores, así como por las bases de sus ataques, todo apunta a que se
trata de un grupo de actuación de origen ruso.
Las investigaciones de Proofpoint señalan que se han encontrado comentarios
escritos en ruso dentro del código del AHK Bot, por lo que el desarrollador de
la herramienta es nativo, o de lo contrario, se han copiado de otras fuentes
sin eliminar esas frases. No obstante, AHK Bot podría ser de uso exclusivo de
un ecosistema cerrado de ciberdelincuencia para sus amenazas.
Su
metodología
TA866 siempre sigue una misma dinámica en sus actuaciones. Comienzan enviando
un correo electrónico con un archivo adjunto (normalmente PDF o de Publisher)
o URL que lleva a los malwares WasabiSeed y Screenshotter a entrar, sin
impedimento alguno, en el dispositivo de la víctima. Se pueden emplear también
programas maliciosos como Rhadamanthys Stealer y AHK Bot.
Mediante la técnica de thread hijacking o secuestro de hilos de conversación,
enviados mediante señuelos, los usuarios son incitados a abrir una
presentación adjunta. No obstante, TA866 no solo se introduce en los
dispositivos a través de la carpeta de spam de correo electrónico, sino
también mediante anuncios falsos, a modo de gancho, instalados en diferentes
páginas web a partir de Google Ads.
Los ciberdelincuentes de TA866 examinan manualmente las capturas de pantalla
de sus víctimas durante su horario de trabajo con el malware Screenshotter. A
partir de ahí, realizan un perfil de cada usuario y determinan si les resulta
útil o no continuar con la infección.
Para que un ataque de TA866 triunfe, será necesario que el usuario hiciese
clic en un enlace o interactuase con un archivo malicioso que descarga y
ejecuta. Por todo ello, el mejor remedio que existe para frenar su poder de
actuación es la educación en ciberseguridad, es decir, que informen sobre
estos correos electrónicos y otras actividades sospechosas a la compañía.
Su
ámbito de influencia
Los ataques de TA866 se dirigen especialmente a medianas y grandes empresas, y
aunque bien es cierto que se han centrado en organizaciones de distintos
sectores económicos de Estados Unidos, están expandiendo su poder de actuación
hasta Europa, especialmente a Alemania (entre el 8 de diciembre de 2022 y el
24 de enero de 2023). No obstante, no siempre tienen pretensiones de carácter
financiero, pues en 2019 se concluyó que sus objetivos estaban relacionados
con el ciberespionaje.
Fuente:
MuySeguridad
Los comentarios están cerrados.