Grupo ruso TA505 ahora ataca a Chile y Argentina

22 Abril 2019
Crítico

Investigadores de TI360 descubrieron una nueva campaña del peligroso grupo de ciberdelincuentes ruso TA505, que esta vez ocupa el malware clasificado como backdoor, ServHelper, cuyas variantes conocidas son Tunnel y Downloader. Desde el 18 de marzo mantiene una campaña activa en Chile y Argentina, específicamente dirigida a instituciones financieras.

Tunnel se enfoca en la configuración de túneles SSH Inversos, que pueden permitir a un atacante acceder al host infectado a través del protocolo de escritorio remoto (RDP). El acceso exitoso a RDP, permite secuestrar las cuentas de usuarios o los perfiles del navegador web, para utilizarlos en lo que se requiera.

En tanto Downloader puede descargar y ejecutar cualquier otro malware tales como un troyano bancario, steller, cryptomining, ransomware y keylogger, entre otros.

De acuerdo al scam realizado en Chile por el investigador Pablo Mejías, el vector de ataque que está siendo utilizado sigue siendo el phishing. Llega un correo electrónico a nombre de María Lorena Benavides Mera (mercedes@menfisgrup.es) con el asunto FACTURAS. El e-mail tiene un archivo excel adjunto llamado FACT 1804_0038770680.xls. La misma plantilla se repite en Argentina, pero con un archivo word con extensión .WIZ. Las muestras fueron subidas en twitter por el investigador argentino Ernesto @Dkavalanche.

El grupo ruso TA505 lleva operando hace unos 6 años a nivel mundial y es el que está detrás del peligroso malware bancario Dridex y del ransomware Locky. También está asociado al RAT tRAT y a los ramsomwares Philadelphia y GlobeImposter. Y recientemente había utilizado para sus ataques los malwares FlawedGrace, Flawed Ammy y ServHelper.

Se recomienda lo siguiente:

- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, explicando sobre los peligros del phishing y cómo actúa para engañar a sus víctimas. También sugerir dudar de cualquier correo que contenga un enlace, ya sea en el cuerpo del e-mail o dentro de un documento adjunto. Y por supuesto, nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.

- Antes de abrir archivos .DOC, .XLS, .WIZ, .PDF y .PUB, entre otros, comprobar que sea de confianza.

- Generar regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Bloquear comunicación bidireccionalmente de las direcciones IP’s y dominios indicados en tráfico perimetral.

- Reemplazar los sistemas operativos Windows antiguos por las versiones más recientes.

- Mantener actualizado Microsoft Office y el software de seguridad del equipo.

- Bloquear el acceso de administrador predeterminado de los usuarios.

- Aplicar reglas exigentes para la creación de contraseñas.

- Nunca deshabilitar las funciones de seguridad, si un correo electrónico o documento te lo solicita.

- Configurar de manera más estricta el anti spam.

- Usar un antivirus con escáner de acceso (protección en tiempo real).

- No abrir documentos adjuntos de remitentes desconocidos.

- Aprender a identificar correos fraudulentos.

- El phishing puede provenir de cualquier persona, incluso de una conocida, por lo que se debe desconfiar de correos que tengan como asunto: “AUTORIZACIÓN”, “PAGO”, “CONFIRMACIÓN”, “BLOQUEO”, “FACTURA” y sus derivados.


Tags: #ta505 #backdoor #servhelper #tunnel #downloader #chile #argentina #rdp #malware #troyanobancario #steller #cryptomining #ransomware #keylogger

Contacto

¡Cuenta con nosotros!
inteligencia@cci-entel.cl


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.