Investigadores de TI360 descubrieron una nueva campaña del peligroso grupo de ciberdelincuentes ruso TA505, que esta vez ocupa el malware clasificado como backdoor, ServHelper, cuyas variantes conocidas son Tunnel y Downloader. Desde el 18 de marzo mantiene una campaña activa en Chile y Argentina, específicamente dirigida a instituciones financieras.
Tunnel se enfoca en la configuración de túneles SSH Inversos, que pueden permitir a un atacante acceder al host infectado a través del protocolo de escritorio remoto (RDP). El acceso exitoso a RDP, permite secuestrar las cuentas de usuarios o los perfiles del navegador web, para utilizarlos en lo que se requiera.
En tanto Downloader puede descargar y ejecutar cualquier otro malware tales como un troyano bancario, steller, cryptomining, ransomware y keylogger, entre otros.
De acuerdo al scam realizado en Chile por el investigador Pablo Mejías, el vector de ataque que está siendo utilizado sigue siendo el phishing. Llega un correo electrónico a nombre de María Lorena Benavides Mera (mercedes@menfisgrup.es) con el asunto FACTURAS. El e-mail tiene un archivo excel adjunto llamado FACT 1804_0038770680.xls. La misma plantilla se repite en Argentina, pero con un archivo word con extensión .WIZ. Las muestras fueron subidas en twitter por el investigador argentino Ernesto @Dkavalanche.
El grupo ruso TA505 lleva operando hace unos 6 años a nivel mundial y es el que está detrás del peligroso malware bancario Dridex y del ransomware Locky. También está asociado al RAT tRAT y a los ramsomwares Philadelphia y GlobeImposter. Y recientemente había utilizado para sus ataques los malwares FlawedGrace, Flawed Ammy y ServHelper.
Se recomienda lo siguiente:
- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, explicando sobre los peligros del phishing y cómo actúa para engañar a sus víctimas. También sugerir dudar de cualquier correo que contenga un enlace, ya sea en el cuerpo del e-mail o dentro de un documento adjunto. Y por supuesto, nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
- Antes de abrir archivos .DOC, .XLS, .WIZ, .PDF y .PUB, entre otros, comprobar que sea de confianza.
- Generar regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
- Bloquear comunicación bidireccionalmente de las direcciones IP’s y dominios indicados en tráfico perimetral.
- Reemplazar los sistemas operativos Windows antiguos por las versiones más recientes.
- Mantener actualizado Microsoft Office y el software de seguridad del equipo.
- Bloquear el acceso de administrador predeterminado de los usuarios.
- Aplicar reglas exigentes para la creación de contraseñas.
- Nunca deshabilitar las funciones de seguridad, si un correo electrónico o documento te lo solicita.
- Configurar de manera más estricta el anti spam.
- Usar un antivirus con escáner de acceso (protección en tiempo real).
- No abrir documentos adjuntos de remitentes desconocidos.
- Aprender a identificar correos fraudulentos.
- El phishing puede provenir de cualquier persona, incluso de una conocida, por lo que se debe desconfiar de correos que tengan como asunto: “AUTORIZACIÓN”, “PAGO”, “CONFIRMACIÓN”, “BLOQUEO”, “FACTURA” y sus derivados.
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8 8.1 10 |