Clicky

Una nueva variante de FlawedGrace se difunde a través de campañas masivas de correo electrónico

FlawedGrace

TA505 es un sofisticado e innovador grupo de ciberdelincuencia

Investigadores de ciberseguridad informaron el martes de un ataque de correo electrónico de volumen masivo organizado por una prolífica banda de ciberdelincuentes que afecta a una amplia gama de industrias, con una de sus operaciones específicas de la región dirigida principalmente a Alemania y Austria.

La firma de seguridad empresarial Proofpoint vinculó la campaña de malware con gran confianza a TA505, que es el nombre asignado al grupo de amenazas con motivación financiera que ha estado activo en el negocio del ciberdelito desde al menos 2014, y está detrás del infame troyano bancario Dridex y otros arsenales de herramientas maliciosas como FlawedAmmyy, FlawedGrace, la botnet Neutrino y el ransomware Locky, entre otros.

Se dice que los ataques comenzaron como una serie de oleadas de correo electrónico de bajo volumen, entregando solo varios miles de mensajes en cada fase, antes de aumentar a fines de septiembre y tan recientemente como el 13 de octubre, lo que resultó en decenas a cientos de miles de correos electrónicos.

"Muchas de las campañas, especialmente las de gran volumen, se parecen mucho a la actividad histórica de TA505 de 2019 y 2020", dijeron los investigadores. "Los puntos en común incluyen convenciones de nombres de dominio similares, señuelos de correo electrónico, señuelos de archivos de Excel y la entrega del troyano de acceso remoto (RAT) FlawedGrace".

El grupo tiene un historial de destacados institutos de investigación, bancos, negocios minoristas, empresas de energía, instituciones de salud, aerolíneas y agencias gubernamentales con fines de lucro, y las actividades maliciosas generalmente comienzan al abrir archivos adjuntos con malware en mensajes de phishing que supuestamente están relacionados con actualizaciones de COVID-19, reclamos de seguros o notificaciones sobre archivos compartidos de Microsoft OneDrive.

email de phishing

"Con el tiempo, TA505 evolucionó de un socio menor a una operación criminal madura, autosuficiente y versátil con un amplio espectro de objetivos", dijo NCC Group en un análisis publicado en noviembre de 2020. "A lo largo de los años, el grupo confió en gran medida en servicios y herramientas de terceros para respaldar sus actividades fraudulentas, sin embargo, el grupo opera ahora principalmente de forma independiente desde la infección inicial hasta la monetización".

Sin embargo, el éxito de la última campaña depende de que los usuarios habiliten las macros después de abrir los archivos adjuntos maliciosos de Excel, publicación en la que se descarga un archivo MSI ofuscado para buscar cargadores de la siguiente etapa antes de la entrega de una versión actualizada de FlawedGrace RAT que incorpora soporte para cadenas encriptadas y llamadas API ofuscadas.

FlawedGrace, observado por primera vez en noviembre de 2017, es un troyano de acceso remoto (RAT) con todas las funciones escrito en C++ que está diseñado deliberadamente para frustrar la ingeniería inversa y el análisis. Viene con una lista de capacidades que le permiten establecer comunicaciones con un servidor de comando y control para recibir instrucciones y exfiltrar los resultados de esos comandos al servidor.

La ola de ataques de octubre del actor también es significativa por su cambio en las tácticas, que incluyen el uso de cargadores intermedios rediseñados con secuencias de comandos en lenguajes inusuales como Rebol y KiXtart en lugar de Get2, un descargador previamente implementado por el grupo para realizar reconocimiento, y descargar e instalar cargas útiles RAT de etapa final.

"TA505 es un actor de amenazas establecido que está motivado financieramente y es conocido por realizar campañas de correo electrónico malicioso en una escala sin precedentes", dijo Proofpoint. "El grupo cambia regularmente sus TTPs y son considerados pioneros en el mundo del ciberdelito. Este actor de amenazas no limita su conjunto de objetivos y, de hecho, es un oportunista igual a las geografías y verticales que elige atacar".

"Esto, combinado con la capacidad de TA505 para ser flexible, centrándose en lo que es más lucrativo y cambiando sus TTPs según sea necesario, convierte al actor en una amenaza continua", agregó la firma de ciberseguridad.

Jesus_Caceres