Investigadores de Cisco Talos descubrieron una campaña masiva de ataques con ransomware, screenlockers, RAT, entre otros, que utilizan rostros de políticos conocidos en Estados Unidos.

La finalidad de estos ataques es instalar un backdoor en la infraestructura de la organización afectada. El proceso de infección es el siguiente:

Los atacantes realizan campañas de malspam relacionado a fraude bancario. Los correos tienen adjunto un archivo malicioso que contiene documentos RTF, que al ser ejecutados, se descarga una aplicación maliciosa PE32 desde un servidor controlado por el atacante usando DDE (Dynamic Data Exchange). La infección se realiza al ejecutar el PE32.

Entre las muestras recolectadas, se encuentran falsos ransomwares, que contienen imágenes e iconografías de políticos estadounidenses y cuadros con el estado de archivos cifrados, lo cual se utiliza para engañar a las victimas para que paguen el rescate. 

Se recomienda lo siguiente:

• Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Evitar instalar programas de sitios que no sean oficiales.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
• Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
• Tener activado el UAC (control de cuentas de usuario) de Windows.