Investigadores de Proofpoint descubrieron dos nuevos grupos de malware que se distribuyen a través de campañas de phishing, realizadas por el grupo de ciberdelincuentes TA505: un backdoor de ServHelper con dos variantes y el troyano de acceso remoto FlawedGrace (RAT).
El blanco de los atacantes son las empresas de los sectores financiero y retail, de ninguna región del mundo en particular. Utilizan archivos Microsoft Word, Microsoft Publisher y archivos PDF, para infectar los computadores de sus víctimas.
Proofpoint le dio el nombre al grupo TA505, quien está cometiendo delitos informáticos desde hace 4 años y está detrás del troyano bancario Dridex y del ransomware Locky, que se entrega a través de la botnet Necurs, vía correos maliciosos. Otros malwares asociados a TA505 incluyen los ransomwares Philadelphia y Globelmposter.
Se recomienda realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, explicando sobre los peligros del phishing y cómo actúa para engañar a sus víctimas. También sugerir dudar de cualquier correo que contenga un enlace, ya sea en el cuerpo del e-mail o dentro de un documento adjunto. Y por supuesto, nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
- Antes de abrir archivos .DOC, .PUB .WIZ y .PDF, aunque provenga de un correo electrónico conocido, se recomienda comprobar que sea de confianza.
- Generar regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
- Bloquear comunicación bidireccionalmente de las direcciones IP’s y dominios indicados en tráfico perimetral.
- Reemplazar los sistemas operativos Windows antiguos por las versiones más recientes.
- Bloquear el acceso de administrador predeterminado de los usuarios.
- Aplicar reglas exigentes para la creación de contraseñas.
- Usar un antivirus con escáner de acceso (protección en tiempo real).
- Nunca deshabilitar las funciones de seguridad, si un correo electrónico o documento te lo solicita.
- Configurar de manera más estricta el anti spam.
- Bloquear el acceso de administrador predeterminado de los usuarios.
- Aplicar reglas exigentes para la creación de contraseñas.
- Usar un antivirus con escáner de acceso (protección en tiempo real).
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8 10 |