Cuidado con el ataque de malspam que propaga al ladrón de información de IcedID

Los investigadores de seguridad detectaron una nueva campaña de malware en estado salvaje a principios de 2021. El nuevo impulso llevado a cabo por los malos actores detrás de ella utiliza una cadena de correo electrónico falsa para disfrazar una gran campaña de spam de correo electrónico de phishing.

Para dar credibilidad a sus esfuerzos, los actores detrás de este nuevo ataque utilizan mensajes de correo electrónico reales y genuinos, extraídos de las bandejas de entrada de las víctimas que ya habían sido pirateadas y comprometidas. Los investigadores creen que la organización detrás de esta nueva campaña es el grupo llamado TA551, a veces denominado Shathak, un actor de amenazas que opera desde una ubicación indeterminada.

Malware dentro de correo spam falso pero creíble

La campaña de spam que propaga malware utiliza correos electrónicos que tienen archivos adjuntos en forma de archivos de Microsoft Word. La configuración es predecible: los archivos adjuntos maliciosos de Word le piden al usuario que permita macros y, si se otorgan permisos de ejecución de macros, se inicia la cadena de infección. Las macros maliciosas descargan el infostealer IcedID y lo instalan en el sistema de la víctima.

Para hacer que los correos electrónicos maliciosos sean lo más convincentes posible, los actores maliciosos usan correos electrónicos de clientes previamente comprometidos y adjuntan el documento de Word en un archivo protegido con contraseña. El archivo lleva el nombre de la organización o empresa cuyo correo electrónico se está falsificando y hay una breve instrucción adicional para utilizar la contraseña proporcionada para abrir el archivo.

En el pasado, TA551 se ha dirigido principalmente a la demografía de habla inglesa, pero sus ataques se han expandido a países y poblaciones que hablan italiano, alemán y japonés también. El vector de infección también ha cambiado.

Aunque anteriormente TA551 usaba el malware Valak como descargador de IcedID, han pasado a usar macros maliciosas en archivos de Microsoft Office, como es el caso de esta campaña más reciente.

Los investigadores esperan que TA551 siga mejorando sus métodos y proponga nuevas formas de difundir el infostealer y haga más avances en su esfuerzo continuo para evitar la detección.

January 11, 2021

Deja una respuesta