Se detecta nueva campaña de Phishing de grupo TA505

03 Febrero 2020
Alto

Expertos de seguridad de Microsoft descubren nueva campaña de phishing lanzada por el grupo cibercriminal TA505 (también conocidos como Evil Corp, Dudear, SectorJ04), en la cual se emplean redireccionadores HTML adjuntos en correos electrónicos, los cuales al abrirlos descargan archivos en formato Excel. Luego, si la víctima "habilita la edición" en el archivo Excel, la carga útil final se descarga al sistema el cual despliega el troyano GraceWire que es usado para robar información.

Esta es la primera vez que se observa a TA505 usando redirectores HTML. Además de esto, el grupo usa un servicio de rastreo de IP, el cual les permite obtener las direcciones de todas las máquinas que descargaron el archivo Excel malicioso.

Si bien el equipo de seguridad de Microsoft asegura que el sistema Microsoft de protección de amenazas (Microsoft Threat Protection), es capaz de neutralizar el ataque, y la plataforma Office 365 detecta los adjuntos y las URL’s maliciosas ocupadas en esta campaña de phishing, se recomienda realizar las acciones sugeridas de forma urgente.

Se recomienda lo siguiente:

  • La capacitación adecuada para detectar correos electrónicos de phishing haciendo hincapié en la existencia de ataques concentrados los días viernes PM y fin de semana cuando la seguridad de las ciberoperaciones disminuye.
  • El phishing puede provenir de cualquier persona, incluso de una conocida, por lo que se debe desconfiar de correos con redireccionadores HTML que descarguen archivos que solicitan habilitar edición u otra acción sospechosa.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Actualizar los equipos con Windows y Microsoft Office a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

Tags: #TA505 #APT #Malware #Phishing #EvilCorp


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.