Detectado un nuevo actor de amenazas que «habla» español para distribuir malware

Bandook, el troyano distribuido por el grupo de ciberdelincuentes TA2721

El equipo de investigación de Proofpoint ha identificado a un nuevo grupo de ciberdelincuentes bastante activo, TA2721, que envía mensajes fraudulentos por correo electrónico en español a empleados de multinacionales y otras empresas de menor tamaño con sede en Estados Unidos, Europa y Suramérica. Su principal objetivo es distribuir un troyano de acceso remoto (RAT) conocido como Bandook, pero poco utilizado en el cibercrimen.

En las campañas analizadas, si bien el punto de mira está repartido entre compañías de numerosos sectores —fabricación, automoción, alimentación y bebidas, medios de comunicación y entretenimiento, banca, seguros o agricultura—, los atacantes suelen dirigirse a un grupo reducido de individuos con apellidos comunes en español, como Pérez, Castillo u Ortiz. Estos reciben un email cuyo cebo responde a asuntos relacionados con pagos —»presupuesto», «cotización» o «recibo»— enviado desde una dirección de Gmail o Hotmail. De ahí viene precisamente el curioso apodo con el que Proofpoint llama a los ciberdelincuentes TA2721: «bandidos calientes» (por «hot» de Hotmail).

El pasado enero los investigadores de Proofpoint comenzaron a rastrear a este grupo capaz de entregar desde abril distintas amenazas por correo electrónico a la semana. Sin embargo, se trata de campañas de bajo volumen con menos de 300 mensajes cada una y capacidad para impactar en menos de un centenar de organizaciones a la vez. En sus mensajes, TA2721 incita a los usuarios a abrir un PDF que contiene una URL y contraseña incrustadas que, al hacer clic, conducen a un archivo RAR cifrado que instala el malware Bandook. Otra de las conclusiones es que este grupo tiende a utilizar la misma infraestructura de mando y control (C2) durante semanas o meses.

Email fraudulento con un PDF a modo de cebo relacionado con supuestos pagos.

Pese a su disponibilidad y antigüedad de uso, Proofpoint no ha observado a ningún otro actor de amenazas que utilice actualmente este malware. De hecho, desde 2015, solo se han registrado alrededor de 40 campañas que distribuyen Bandook, y las perpetradas por TA2721 en 2021 representan más del 50% de la actividad observada. Desde la compañía prevén que este grupo continuará utilizando señuelos, cadenas de infección y contraseñas similares a los de estas campañas con un conjunto limitado de variantes del malware Bandook mientras rota a través de dominios C2.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio