Investigadores de Trend Micro detectaron una campaña de malspam que va dirigida a instituciones financieras y organizaciones gubernamentales principalmente de Sudamérica. Los hallazgos indican que la campaña viene de un grupo de ciberdelincuentes que se focalizan en comprometer correos electrónicos comerciales, los cuales hasta la fecha, no representan una amenaza persistente avanzada.
El ataque comienza con un correo electrónico enviado a la víctima desde servidores de correos abiertos o comprometidos de Sudamérica para facilitar las campañas, principalmente con YOPmail como su servidor de comando y control (C&C). El ataque destaca por utilizar “Algoritmos de Generación de Dominios” (DGA) tanto para su C&C como para su payload escrito en Visual Basic 6, que es una versión personalizada de una herramienta de acceso remoto llamado "Proyecto RAT", manteniendo la misma infraestructura para enviar correos electrónicos y poder controlar a su víctima.
Los correos electrónicos llegan con un remitente suplantado, con frases en el asunto que incitan al receptor a abrir el archivo .RTF adjunto. Algunos ejemplos son:
Se recomienda lo siguiente:
- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
- Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
- Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
- Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
- Revisar los controles de seguridad de los AntiSpam y SandBoxing.
- Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
- Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
- Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
- Tener activado el UAC (control de cuentas de usuario) de Windows.
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8 8.1 10 |