Phishing de TA505 afecta a bancos y retail

11 Enero 2019
Crítico

Investigadores de Proofpoint descubrieron dos nuevos grupos de malware que se distribuyen a través de campañas de phishing, realizadas por el grupo de ciberdelincuentes TA505: un backdoor de ServHelper con dos variantes y el troyano de acceso remoto FlawedGrace (RAT).

El blanco de los atacantes son las empresas de los sectores financiero y retail, de ninguna región del mundo en particular. Utilizan archivos Microsoft Word, Microsoft Publisher y archivos PDF, para infectar los computadores de sus víctimas.

Proofpoint le dio el nombre al grupo TA505, quien está cometiendo delitos informáticos desde hace 4 años y está detrás del troyano bancario Dridex y del ransomware Locky, que se entrega a través de la botnet Necurs, vía correos maliciosos. Otros malwares asociados a TA505 incluyen los ransomwares Philadelphia y Globelmposter.

Se recomienda realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, explicando sobre los peligros del phishing y cómo actúa para engañar a sus víctimas. También sugerir dudar de cualquier correo que contenga un enlace, ya sea en el cuerpo del e-mail o dentro de un documento adjunto. Y por supuesto, nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.

- Antes de abrir archivos .DOC, .PUB .WIZ y .PDF, aunque provenga de un correo electrónico conocido, se recomienda comprobar que sea de confianza.

- Generar regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Bloquear comunicación bidireccionalmente de las direcciones IP’s y dominios indicados en tráfico perimetral.

- Reemplazar los sistemas operativos Windows antiguos por las versiones más recientes.

- Bloquear el acceso de administrador predeterminado de los usuarios.

- Aplicar reglas exigentes para la creación de contraseñas.

- Usar un antivirus con escáner de acceso (protección en tiempo real).

- Nunca deshabilitar las funciones de seguridad, si un correo electrónico o documento te lo solicita.

- Configurar de manera más estricta el anti spam.

- Bloquear el acceso de administrador predeterminado de los usuarios.

- Aplicar reglas exigentes para la creación de contraseñas.

- Usar un antivirus con escáner de acceso (protección en tiempo real).


Tags: #malware #phishing #ta505 #backdoor #dridex #locky #necurs #flawedgrace #servhelper #microsoft

Contacto

¡Cuenta con nosotros!
inteligencia@cci-entel.cl


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.