Nueva campaña de malware dirigida a empresas alemanas e italianas

Los investigadores de seguridad han rastreado las actividades de un nuevo grupo de hackers con motivación financiera que se dirigen a varias empresas y organizaciones en Alemania, Italia y Estados Unidos en un intento de infectarlos con malware de puerta trasera, troyano bancario o ransomware.

Si bien las nuevas campañas de malware no están personalizadas para cada organización, los actores de la amenaza parecen estar más interesados en las empresas, los servicios de TI, la fabricación y las industrias de atención médica que poseen datos críticos y que probablemente puedan permitirse pagos de rescate elevados.

Según un informe de ProofPoint, los actores de las amenazas que recientemente fueron descubiertas están enviando correos electrónicos de bajo volumen que se hacen pasar por entidades gubernamentales relacionadas con las finanzas o con evaluación de impuestos.

«Las campañas de correos electrónicos con temas de impuestos se dirigen a los archivadores de 2019, los señuelos relacionados con las finanzas se han utilizado estacionalmente con aumentos en el malware relacionado con los impuestos y las campañas de phishing que conducen a los plazos anuales de presentación de impuestos en diferentes geografías», dijeron los investigadores.

Nuevas campañas de malware detectadas en la naturaleza

En casi todas las campañas de correo electrónico de spear phishing que los investigadores observaron entre el 16 de octubre y el 12 de noviembre de este año, los atacantes usaron archivos adjuntos de documentos de Word maliciosos como un vector inicial para comprometer el dispositivo.

Una vez abierto, el documento malicioso ejecuta una macro para ejecutar comandos maliciosos de PowerShell, que luego eventualmente descarga e instala una de las siguientes cargas útiles en el sistema de la víctima:

    – Maze Ransomware,
    – IcedID Banking Trojan,
     – Cobalt Strike puerta trasera.

‘Al abrir el documento de Microsoft Word y habilitar las macros, se instala el ransomware Maze en el sistema del usuario, se encriptan todos sus archivos y se guarda una nota de rescate similar a la siguiente en formato TXT en cada directorio’.

Además de utilizar la ingeniería social, para hacer que sus correos electrónicos de phishing sean más convincentes, los atacantes también están utilizando dominios parecidos y marcas robadas para suplantar a:

    – Bundeszentralamt fur Steuern, el Ministerio Federal de Hacienda de Alemania,
    – Agenzia Delle Entrate, la Agencia de Ingresos de Italia,
    – 1 & 1 Internet AG, un proveedor de servicios de internet alemán,
    – USPS, el Servicio Postal de los Estados Unidos.

«En Alemania e Italia también se observaron campañas similares que aprovechan las agencias gubernamentales locales. Estos señuelos de ingeniería social indican que los ciberdelincuentes en general se están volviendo más convincentes y sofisticados en sus ataques».

«Aunque estas campañas son pequeñas en volumen, actualmente son importantes por su abuso de marcas confiables, incluidas las agencias gubernamentales y por su expansión relativamente rápida en múltiples geografías. Hasta la fecha, el grupo parece haber apuntado a organizaciones en Alemania, Italia, y más recientemente, Estados Unidos, entregando cargas útiles geodirigidas con señuelos en idiomas locales «, afirmó el Líder de Inteligencia de Amenazas en Proofpoint.

«Observaremos de cerca a este nuevo actor, dadas sus aspiraciones globales aparentes, la ingeniería social bien elaborada y la escala en constante aumento».

Más información

Reporte de ProofPoint
https://www.proofpoint.com/us/threat-insight/post/ta2101-plays-government-imposter-distribute-malware-german-italian-and-us