Los expertos en seguridad de Proofpoint han descubierto un nuevo grupo de piratas informáticos llamado TA866, que atacó a decenas de miles de empresas con malware entre octubre de 2022 y enero de 2023. Las actividades están dirigidas en particular a organizaciones en Alemania y EE.UU.
Destaca un detalle de los ataques TA866: los ciberdelincuentes primero analizan capturas de pantalla de los entornos de TI de sus posibles víctimas para identificar objetivos particularmente lucrativos. Solo intentan infectar a la víctima con un bot o un ladrón si creen que vale la pena involucrarse más.
🔎 La cadena de ataque muestra todos los scripts, herramientas y malware involucrados (Imagen: Proofpoint).
Lanzamiento de ataque con tiempo de pantalla
Desde octubre de 2022 hasta enero de 2023, Proofpoint observó un grupo de actividades motivadas financieramente que los expertos denominan "tiempo de pantalla". La cadena de ataques comienza con un correo electrónico que contiene un archivo adjunto o URL malicioso. Ambos conducen al malware conocido como "WasabiSeed" y "Screenshotter". En algunos casos, Proofpoint observó actividades que incluían AHK Bot y Rhadamanthys Stealer luego de la infección primaria.
La mayoría de las campañas en octubre y noviembre de 2022 consistieron en una cantidad limitada de correos electrónicos y se centraron en una pequeña cantidad de empresas. Las campañas se observaron en promedio una o dos veces por semana y los mensajes contenían archivos adjuntos del editor. En noviembre y diciembre de 2022, cuando el grupo hizo la transición al uso de URL, la escala de operaciones aumentó y el volumen de correo electrónico aumentó drásticamente. Las campañas típicas comprendían miles o incluso decenas de miles de correos electrónicos y se podían observar de dos a cuatro veces por semana. En enero de 2023, la frecuencia de las campañas disminuyó, pero el volumen de correo electrónico creció aún más.
La cadena de infección
El 23 y 24 de enero de 2023, Proofpoint observó decenas de miles de mensajes de correo electrónico dirigidos a más de mil empresas. Los mensajes estaban dirigidos a organizaciones de EE. UU. y Alemania. Los correos electrónicos enviados parecían basarse en el secuestro de hilos y atraídos con líneas de asunto como "Revisar mi presentación". Estos mensajes contenían direcciones URL maliciosas que lanzaron una cadena de ataques de varias etapas. Cuando un usuario hace clic en la URL, pone en marcha la cadena de ataques. En una publicación de blog en Proofpoint, todos los pasos individuales se examinan y documentan utilizando varias capturas de pantalla.
Más en proofpoint.com
Acerca de Proofpoint Proofpoint, Inc. es una empresa líder en ciberseguridad. El enfoque de Proofpoint es la protección de los empleados. Porque estos significan el mayor capital para una empresa, pero también el mayor riesgo. Con un conjunto integrado de soluciones de ciberseguridad basadas en la nube, Proofpoint ayuda a las organizaciones de todo el mundo a detener las amenazas dirigidas, proteger sus datos y educar a los usuarios de TI empresariales sobre los riesgos de los ciberataques.