Investigadores de seguridad han rastreado las actividades de un nuevo grupo de hackers con motivación financiera que se dirigen a varias empresas y organizaciones en Alemania, Italia y los Estados Unidos en un intento de infectarlos con malware de puerta trasera, troyano bancario o ransomware.
Aunque las nuevas campañas de malware no están personalizadas para cada organización, los actores de la amenaza parecen estar más interesados en las empresas, los servicios de TI, la fabricación y las industrias de atención médica que poseen datos críticos y que probablemente puedan pagar altos pagos de rescate.
Según un informe que ProofPoint compartió con The Hacker News, los atacantes han estado enviando un bajo volumen de correos, haciendose pasar por entidades gubernamentales, de servicios de impuestos o correos de reembolsos.
Nuevas campañas de malware detectadas en la naturaleza
En casi todas las campañas de correo electrónico de spear phishing que los investigadores observaron entre el 16 de octubre y el 12 de noviembre de este año, los atacantes utilizaron archivos adjuntos de documentos de Word maliciosos como un vector inicial para comprometer el dispositivo.
Una vez abierto, el documento malicioso ejecuta una secuencia de comandos macro para ejecutar comandos maliciosos de PowerShell, que luego eventualmente descargan e instalan una de las siguientes cargas útiles en el sistema de la víctima:
- Maze Ransomware,
- IcedID Banking Trojan,
- Cobalt Strike puerta trasera.
"Al abrir el documento de Microsoft Word y habilitar las macros se instala el ransomware Maze en el sistema del usuario, encripta todos sus archivos y guarda una nota de rescate similar a la siguiente en formato TXT en cada directorio".
Además de utilizar la ingeniería social, para hacer que sus correos electrónicos de phishing sean más convincentes, los atacantes también están utilizando dominios parecidos, verborrea y marcas robadas para suplantar:
- Bundeszentralamt fur Steuern, el Ministerio Federal de Hacienda de Alemania,
- Agenzia Delle Entrate, la Agencia de Ingresos de Italia,
- 1 & 1 Internet AG, un proveedor de servicios de internet alemán,
- USPS, el Servicio Postal de los Estados Unidos.
"En Alemania e Italia también se observaron campañas similares que aprovechan las agencias gubernamentales locales. Estos señuelos de ingeniería social indican que los ciberdelincuentes en general se están volviendo más convincentes y sofisticados en sus ataques".
"Aunque estas campañas son pequeñas en volumen, actualmente son importantes por su abuso de marcas confiables, incluidas las agencias gubernamentales, y por su expansión relativamente rápida en múltiples geografías. Hasta la fecha, el grupo parece haber apuntado a organizaciones en Alemania, Italia, y, más recientemente, Estados Unidos, entregando cargas útiles con orientación geográfica con señuelos en los idiomas locales ", dijo Christopher Dawson, Líder de Inteligencia de Amenazas en Proofpoint.
"Observaremos de cerca a este nuevo actor, dadas sus aspiraciones globales aparentes, la ingeniería social bien elaborada y la escala en constante aumento".
