El grupo ciberdelincuente TA505 Según los informes, ha vuelto a cambiar sus tácticas, ahora participando en campañas de phishing que aprovechan los archivos adjuntos con redirectores HTML para entregar documentos de Excel que contienen malware.
Tras un breve período de inactividad, el grupo reanudó sus actividades el mes pasado con un plan diseñado para que las víctimas instalen el troyano GraceWire, que roba información, según expertos de la organización. Microsoft Equipo de inteligencia de seguridad. El actor de amenazas es conocido por difundir el malware Dridex, TrickBot y Locky, y es ampliamente considerado sinónimo del supuesto grupo ciberdelincuente ruso Evil Corp.
Los destinatarios de los correos electrónicos de phishing que abrieron el redirector HTML terminarían descargando "Dudear", un archivo de Excel que elimina la carga útil principal (GraceWire) una vez que se habilitan las macros maliciosas. Esta es una nueva táctica para TA505, que anteriormente simplemente adjuntaba directamente el malware para usar una URL maliciosa, explicó Microsoft en un serie de tweets el 30 de enero (Microsoft también se refiere a toda la operación TA505 como Dudear).
“Esta es la primera vez que se observa a Dudear utilizando redirectores HTML. Los atacantes utilizan archivos HTML en diferentes idiomas. En particular, también utilizan un servicio de rastreo de IP para rastrear las direcciones IP de las máquinas que descargan el archivo de Excel malicioso ”, dijo uno de los tweets.
Por ordenador que suenaKafeine, investigador de Proofpoint, dijo que TA505 comenzó a implementar esta nueva técnica a mediados de enero.
En noticias relacionadas, el 30 de enero, los investigadores de Prevailion publicaron una instantánea global de las posibles víctimas de TA505 basada en los datos de "Evidencia de compromiso" que recopilaron entre diciembre de 2019 y enero de 2020.
"Nuestra telemetría muestra la orientación en seis continentes, repartidos en una multitud de sectores y países diferentes", dijo una empresa de Prevailion. del blog escrito por los investigadores Danny Adamitis e Ian Winslow. “El área geográfica más afectada, según nuestra telemetría, fue Europa”, siendo América del Norte, especialmente los EE. UU., La siguiente región más afectada, continúa la publicación del blog.
Las víctimas específicas incluyeron al menos una compañía eléctrica con sede en EE. UU., Una red del gobierno estatal de EE. UU. Y uno de los 25 bancos más grandes del mundo. Entre las verticales de la industria, las instituciones educativas fueron las más afectadas, pero las organizaciones financieras / de seguros también fueron fuertemente atacadas, incluyendo lo que Prevailion describió como “una concentración inusualmente grande de dominios maliciosos que afectan” a las compañías financieras francesas.
