Aunque las nuevas campañas de malware no están personalizadas para cada organización, los actores de la amenaza parecen estar más interesados ​​en las empresas, los servicios de TI, la fabricación y las industrias de atención médica que poseen datos críticos y que probablemente puedan pagar altos pagos de rescate.

Según un informe que ProofPoint compartió con The Hacker News, los actores de amenazas recientemente descubiertos están enviando correos electrónicos de bajo volumen que se hacen pasar por entidades gubernamentales relacionadas con las finanzas con evaluación de impuestos y reembolsan correos electrónicos atraídos a organizaciones seleccionadas.

«Las campañas de correo electrónico con temas de impuestos se dirigen a los archivadores 2019, los señuelos relacionados con las finanzas se han utilizado estacionalmente con aumentos en el malware relacionado con los impuestos y las campañas de phishing que conducen a los plazos anuales de presentación de impuestos en diferentes geografías», dijeron los investigadores.

Nuevas campañas de malware detectadas en la naturaleza

En casi todas las campañas de correo electrónico de spear phishing que los investigadores observaron entre el 16 de octubre y el 12 de noviembre de este año, los atacantes utilizaron archivos adjuntos de documentos de Word maliciosos como un vector inicial para comprometer el dispositivo.

microsoft word macro malware

Una vez abierto, el documento malicioso ejecuta una secuencia de comandos macro para ejecutar comandos maliciosos de PowerShell, que luego eventualmente descarga e instala una de las siguientes cargas útiles en el sistema de la víctima:

  • Maze Ransomware,
  • IcedID Banking Trojan,
  • Cobalt Strike puerta trasera.

«Al abrir el documento de Microsoft Word y habilitar las macros, se instala el ransomware Maze en el sistema del usuario, encripta todos sus archivos y se guarda una nota de rescate similar a la siguiente en formato TXT en cada directorio».

Además de utilizar la ingeniería social, para hacer que sus correos electrónicos de phishing sean más convincentes, los atacantes también están utilizando dominios parecidos, verborrea y marcas robadas para suplantar:

  • Bundeszentralamt fur Steuern, el Ministerio Federal de Hacienda de Alemania,
  • Agenzia Delle Entrate, la Agencia de Ingresos de Italia,
  • 1 & 1 Internet AG, un proveedor de servicios de internet alemán,
  • USPS, el Servicio Postal de los Estados Unidos.

«En Alemania e Italia también se observaron campañas similares que aprovechan las agencias gubernamentales locales. Estos señuelos de ingeniería social indican que los ciberdelincuentes en general se están volviendo más convincentes y sofisticados en sus ataques».

«Aunque estas campañas son pequeñas en volumen, actualmente son importantes por su abuso de marcas confiables, incluidas las agencias gubernamentales, y por su expansión relativamente rápida en múltiples geografías. Hasta la fecha, el grupo parece haber apuntado a organizaciones en Alemania, Italia, y, más recientemente, Estados Unidos, entregando cargas útiles con orientación geográfica con señuelos en los idiomas locales «, dijo a The Hacker News Christopher Dawson, Líder de Inteligencia de Amenazas en Proofpoint.

«Observaremos de cerca a este nuevo actor, dadas sus aspiraciones globales aparentes, la ingeniería social bien elaborada y la escala en constante aumento».

¿Cómo proteger los ataques cibernéticos basados ​​en correo electrónico?

Pensé que la mayoría de las herramientas y técnicas utilizadas por este nuevo grupo no son nuevas ni sofisticadas; desafortunadamente, sigue siendo una de las formas más exitosas en que los delincuentes penetran en una organización.

Las mejores formas de proteger su computadora contra tales ataques son tan simples como seguir prácticas básicas de seguridad cibernética en línea, como:

  • Deshabilita la ejecución de macros en archivos de Office,
  • Mantenga siempre una copia de seguridad periódica de sus datos importantes,
  • Asegúrese de ejecutar uno de los mejores programas antivirus en su sistema,
  • No abra archivos adjuntos de correo electrónico de fuentes desconocidas o no confiables,
  • No haga clic en los enlaces de fuentes desconocidas.

Fuente: thehackernews.com

Compartir