Nuevo malware es utilizado en campañas de spam del grupo TA505

04 Julio 2019
Alto

Investigadores de Trend Micro descubrieron una nueva campaña del grupo TA505 que utilizan los malware Gelup y FlowerPippi, que van dirigidos a países del medio oriente y Argentina. Por otra parte los investigadores de Proofpoint también descubrieron dos campañas de spam que distribuyen el malware que denominaron AndroMut en junio, y que esta vez el destino de los atacantes fueron Estados Unidos, Singapur, Emiratos Árabes y Corea del Sur.

La nueva campaña utiliza correos electrónicos que contienen documentos .DOC y .XLS para difundir el nuevo malware, y los payloads se ejecutan mediante macros VBA después de abrir los archivos adjuntos maliciosos. Una pequeña cantidad de muestras de spam también utilizaron URL’s maliciosas que conducen a descargas de FlawedAmmy RAT según Trend Micro.

La principal característica del payload del malware Gelup es que utiliza ofuscación y una técnica de evasión de UAC que logra burlarse de los directorios confiables (falsificando la ruta de ejecución del archivo en un directorio confiable), abusando de los ejecutables con permisos elevados y utilizando la biblioteca de vínculos dinámicos (DLL). Los ciberdelincuentes también incluyeron varias técnicas diseñadas para impedir los análisis estáticos y dinámicos, así como múltiples pasos de implementación para hacer que el proceso de infección sea más difícil de seguir. Para ganar persistencia, Gelup programaría una tarea que inicie la creación de un archivo LNK en la papelera de reciclaje del sistema o agregaria una entrada de ejecucion de registro según  los privilegios de usuario como lo explica Proofpoint.

TA505 es un grupo de piratería activo desde al menos el tercer trimestre de 2014 con un enfoque conocido en el ataque a instituciones financieras y empresas minoristas que utilizan campañas de spam malicioso de gran tamaño difundidas a través de la red de bots Necurs.

Para este tipo de ataques recomendamos lo siguiente:

- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.

- Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.

- Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad, lo que permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.

- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Actualizar los equipos con Windows a las últimas versiones.

- Configurar de manera más estricta el anti spam.

- Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.

- Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.

- Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.

- Tener activado el UAC (control de cuentas de usuario) de Windows.


Tags: #malspam #ta505 #gelup #flowerpippi #doc #xls #vba #rat #flawedammy

Contacto

¡Cuenta con nosotros!
inteligencia@cci-entel.cl


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.