Delincuentes ciberneticos instala herramienta de monitoreo remoto a traves de documento MS Word

Los delincuentes cibernéticos del grupo TA505 iniciaron una nueva campaña dirigida a las cadenas de tiendas minoristas, supermercados y restaurantes mediante la distribución de documentos en formato MS Word.

El grupo TA505 ya tenía un récord de distribución de la mayor campaña de amenazas de Dridex y de la amplia distribución del ransomware Locky que afectó a millones de computadoras en todo el mundo.

Actualmente se distribuyen decenas de miles de mensajes a víctimas de varios países junto con archivos adjuntos maliciosos.

Investigadores de seguridad de Proofpoint que observan las actividades de los actores de amenazas TA505 desde el 15 de noviembre de 2018, que entregan varias familias de malware diferentes como FlawedAmmyy , entre otras.

Este grupo distribuye activamente varias campañas, incluidos el troyano de acceso remoto y otros descargadores que se dirigen principalmente a la industria minorista.

Instalación de la herramienta de monitoreo remoto

Los atacantes utilizan el archivo adjunto personalizar archivo malicioso que no se ha utilizado anteriormente y envían un documento escaneado.

Un documento escaneado contiene datos adjuntos malintencionados de Microsoft Word junto con un logotipo específico de la empresa que indica que era una campaña dirigida.

El documento contiene una macro que hace que el usuario lo habilite para descargar y ejecutar un archivo MSI.

Una vez que las víctimas habilitan el contenido, la ejecución conduce a la instalación del Sistema de Manipulador Remoto (RMS) con un archivo de configuración que contiene una dirección de control y control (C&C) personalizada.

Según Proofpoint, TA505 ha ayudado a configurar el panorama de amenazas durante años, en gran parte debido a los volúmenes masivos asociados con sus campañas hasta finales de 2017. Cuando este grupo cambia de táctica, tiende a corresponder a cambios más amplios y, a lo largo del año, He visto tanto a TA505 como a otros actores centrados en descargadores, RAT, ladrones de información y troyanos bancarios, a menudo en campañas más pequeñas y más específicas.

La naturaleza de la distribución de esta campaña de malware: RAT y puertas traseras, ya que aprovechan la actual temporada de compras navideñas.

Fecha actualización el 2021-12-13. Fecha publicación el 2018-12-13. Categoría: google Autor: Oscar olg Mapa del sitio Fuente: gbhackers
hackers