Se cree que la campaña FlawedAmmyy es el trabajo de un prolífico grupo de piratas informáticos que ha estado distribuyendo el malware a través de correos electrónicos de phishing.
Los hackers están distribuyendo una forma de malware troyano recientemente descubierta que ofrece acceso completo a PC infectadas con Windows.
Apodado FlawedAmmyy, el malware se basa en el código fuente filtrado para una aplicación legítima, la versión 3 del software de escritorio remoto Ammyy Admin, y permite a los atacantes espiar en secreto a los engañados para instalarlo.
El RAT "Remote Access Trojan" es capaz de tener control completo de escritorio remoto, proporcionando a los piratas informáticos acceso total al sistema y la oportunidad de robar archivos, credenciales y más. El malware también tiene el potencial de abusar del audio chat.
Si bien los que están detrás de FlawedAmmyy intentan entregarlo a granel mediante campañas de phishing masivas , también están participando en campañas más específicas dirigidas a sectores específicos, con ataques enfocados en la industria automotriz, entre otros. Esta campaña para infectar PCs con FlawedAmmyy estuvo activa hace solo unos días.
Un malware previamente no documentado, FlawedAmmyy ha sido descubierto por investigadores de Proofpoint que dicen que el grupo detrás de él ha estado desplegando activamente el troyano desde enero de 2016.
Se cree que la organización detrás de los ataques es TA505 , un prolífico grupo de piratas informáticos que ha estado activo desde 2014, y anteriormente se ha centrado en las víctimas que utilizan el troyano bancario Dridex , Locky ransomware , Jaff ransomware y más en campañas de amplio alcance.
Los intentos de entregar FlawedAmmyy son similares a esos esquemas, con mensajes enviados con temas relacionados con recibos, facturas y facturas y un archivo adjunto de correo electrónico en forma de un archivo .ZIP que pretende estar relacionado con una transacción.
El archivo ZIP contiene archivos .url que están diseñados para servir como enlaces a sitios web y lanzar automáticamente un navegador web.
En este caso, los archivos se utilizan para conectarse a un "archivo://" en lugar de un enlace "http://", lo que significa que si la víctima abre el archivo adjunto, el sistema descarga y ejecuta JavaScript sobre el Bloque de mensajes del servidor ( SMB) protocolo en lugar del navegador.
Los investigadores dicen que esta es la primera instancia de combinación de estos dos elementos para infectar sistemas con malware. Una vez que se ha llamado al protocolo SMB, el JavaScript descarga Quant Loader, que a su vez recupera la carga final e instala FlawedAmmyy en la PC infectada.
"Hemos visto a FlawedAmmyy en ambas campañas masivas, creando potencialmente una gran base de computadoras comprometidas, así como campañas dirigidas que crean oportunidades para que los actores roben datos de clientes, información de propiedad y más", dijeron los investigadores de Proofpoint.
El troyano no les proporciona a las víctimas ninguna señal importante de que su computadora haya sido infectada. Para evitar infecciones, los usuarios deben evitar hacer clic en enlaces inesperados y extraños, especialmente de remitentes desconocidos.
Fecha actualización el 2021-03-08. Fecha publicación el 2018-03-08. Categoría: malware. Autor: Oscar olg Mapa del sitio Fuente: zdnet"Como siempre, los usuarios no deben abrir archivos adjuntos de remitentes que no conocen y deben tener en cuenta las advertencias de seguridad al abrir archivos. Las defensas en capas en la puerta de enlace de correo electrónico, IDS y punto final pueden proporcionar una protección importante para amenazas de esta naturaleza", dijo investigadores.
