Nueva campaña de malspam ataca en Sudamérica

18 Julio 2019
Alto

Investigadores de Trend Micro detectaron una campaña de malspam que va dirigida a instituciones financieras y organizaciones gubernamentales principalmente de Sudamérica. Los hallazgos indican que la campaña viene de un grupo de ciberdelincuentes que se focalizan en comprometer correos electrónicos comerciales, los cuales hasta la fecha, no representan una amenaza persistente avanzada.

El ataque comienza con un correo electrónico enviado a la víctima desde servidores de correos abiertos o comprometidos de Sudamérica para facilitar las campañas, principalmente con YOPmail como su servidor de comando y control (C&C). El ataque destaca por utilizar “Algoritmos de Generación de Dominios” (DGA) tanto para su C&C como para su payload escrito en Visual Basic 6, que es una versión personalizada de una herramienta de acceso remoto llamado "Proyecto RAT", manteniendo la misma infraestructura para enviar correos electrónicos y poder controlar a su víctima.

Los correos electrónicos llegan con un remitente suplantado, con frases en el asunto que incitan al receptor a abrir el archivo .RTF adjunto. Algunos ejemplos son:

  • "Hemos iniciado un proceso en su contra violencia laboral".
  • "Se hará efectivo un embargo a su(s) cuenta(s) Bancarias".
  • "Almacenes éxito te obsequia una tarjeta regalo virtual por valor de $ 500.000". 

 

Se recomienda lo siguiente:

- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.

- Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.

- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).

- Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

- Revisar los controles de seguridad de los AntiSpam y SandBoxing.

- Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.

- Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.

- Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.

- Tener activado el UAC (control de cuentas de usuario) de Windows.


Tags: #malware #correoelectronico #yopmail #malspam #windows #rat #dga #proyectorat #c2 #finanza #banca #gobierno


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.