El grupo de ciberdelincuentes TA505, conocidos como uno de los grupos cibercriminales más exitosos, lanzó una nueva campaña dirigida a los empleados de los servicios bancarios y financieros en los EE. UU., Los Emiratos Árabes Unidos y Singapur.
TA505 ha estado activo al menos desde el 2014 y con el paso de los años se ha convertido en uno de los grupos cibercriminales más prolíficos, infectando a víctimas de todo el mundo con troyanos de acceso remoto (RAT), ladrones de información, troyanos bancarios y ransomware, incluido el malware Dridex y Locky.
En noviembre de 2018, el grupo comenzó a distribuir un nuevo backdoor llamado ServHelper, que se presentó en dos formas: una está centrada en las funciones del escritorio remoto y la segunda actúa principalmente como descargador de otro malware. Gran parte del éxito de TA505 proviene de la capacidad de actualizar constantemente su arsenal de cargas útiles.
En su última campaña en junio de 2019, TA505 cambió de táctica una vez más e introdujo otro nuevo malware de descarga, que los investigadores de Proofpoint denominan AndroMut. El nuevo descargador está escrito en C ++ y se describe por tener similitudes en el código y el comportamiento de un conocido malware de Andrómeda.
Actualmente, AndroMut se utiliza como un descargador que deja caer en el sistema comprometido otra carga útil: FlawedAmmyy RAT que permite a los atacantes tomar el control completo de la máquina Windows infectada de forma remota, proporcionándoles acceso a archivos, credenciales y más, lo que en este caso TA505 se utiliza para infiltrarse en las redes de los bancos.
Como las operaciones del otro TA505, el malware llega a las computadoras seleccionadas a través de correos electrónicos de suplantación de identidad que en este caso contienen aparentemente facturas y otros documentos relacionados con la banca y las finanzas. Si los usuarios abren el documento de Word y habilitan las macros, AndroMut se descarga en la computadora y luego el malware descarga la RAT FlawedAmmyy, lo que permite a los atacantes comprometer completamente el objetivo.
“El movimiento de TA505 para distribuir RAT y descargadores principalmente en campañas mucho más específicas de lo que anteriormente empleaban con troyanos bancarios y ransomware sugiere un cambio fundamental en sus tácticas. Esencialmente, el grupo busca infecciones de mayor calidad con el potencial de monetización a largo plazo: calidad sobre cantidad ”, dijeron los investigadores que agregaron que las verticales de banca comercial en los Estados Unidos, Emiratos Árabes Unidos y Singapur parecen ser los principales objetivos como parte de TA505. Patrón habitual de comportamiento "sigue el dinero".
