TA2719: el nuevo actor de amenazas que distribuye troyanos de acceso remoto con señuelos llamativos en varios idiomas

4 septiembre, 2020
6 Compartido 1,399 Visualizaciones

Proofpoint ha seguido los pasos de un nuevo actor de amenazas,  denominado TA2719

Se vale de llamativos señuelos con los que se hace pasar por entidades financieras, fuerzas de seguridad y compañías transportistas para distribuir los troyanos de acceso remoto (RAT) NanoCore y AsyncRAY.

Mediante el uso de la ingeniería social, y sin ceñirse a un único sector como objetivo, estas campañas se caracterizan por estar cuidadosamente diseñadas para la región a la que se dirigen y, por ello, emplean diferentes idiomas, entidades de referencia y sus logotipos correspondientes en función del país. Incluso la dirección que aparece en la firma del supuesto remitente es correcta y parece corresponder a un miembro de la organización suplantada, en caso de que el usuario decida buscar el nombre o la dirección de esa persona antes de realizar cualquier acción. Por su parte, los destinatarios de estas amenazas suelen responder a perfiles fácilmente localizables a través de internet o con direcciones de correo electrónico basadas en roles concretos, sin que el TA2719 muestre especial predilección por elegir a destinatarios individuales como víctimas de sus amenazas. 

“Estas campañas del TA2719 demuestran lo fácil que puede llegar a ser para los actores de amenazas operar en distintos idiomas y, de forma simultánea, hacerse pasar por personas que realmente pertenecen a entidades de confianza para el usuario”, declara Sherrod DeGrippodirectora sénior de Investigación y Detección de Amenazas de Proofpoint“Mientras que sigamos luchando contra la pandemia de Covid-19, nuestra sociedad dependerá cada vez más de la comunicación digital; y esto, en medio de una enorme situación de estrés, aumentará el riesgo de que los esfuerzos de los ciberdelincuentes en ingeniería social tengan mayor éxito”.

Proofpoint ha detectado estas amenazas del TA2719 en Austria, Chile, España, Estados Unidos, Grecia, Hungría, Italia, Macedonia del Norte, Países Bajos, Suecia, Taiwán y Uruguay. Por ahora, el volumen de estos ataques ha sido relativamente bajo con varias campañas por mes compuestas de unas docenas o cientos de mensajes, alcanzando su punto más álgido en mayo a través de un menor número de campañas, pero con más de 2.000 mensajes cada una.

En estos mensajes suelen aparecer archivos adjuntos que contienen malware, aunque en las primeras campañas se incluían URLs maliciosas como principal mecanismo de entrega. Los asuntos de dichos mensajes apremian a los usuarios a hacer clic en estos archivos o enlaces con motivo de la presunta llegada de un paquete de mensajería, un comunicado policial o una notificación de pago falsos. El TA2719 utiliza también a menudo recursos ampliamente disponibles, como proveedores gratuitos de hosting o commodity malware, para ejecutar sus campañas, lo cual deja patente la facilidad con la que los actores de amenazas pueden iniciar y mantener una operación. Aunque no se trata de señuelos tecnológicamente avanzados, desde Proofpoint aseguran que la fijación del TA2719 por los detalles no hace sino aumentar la sensación de legitimidad, y también efectividad, del mensaje fraudulento entre las posibles víctimas.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Empresas líderes aceleran la innovación y el valor de negocio mediante la nube híbrida con Red Hat Integration y tecnología de contenedores
Soluciones Seguridad
18 compartido2,457 visualizaciones
Soluciones Seguridad
18 compartido2,457 visualizaciones

Empresas líderes aceleran la innovación y el valor de negocio mediante la nube híbrida con Red Hat Integration y tecnología de contenedores

Samuel Rodríguez - 7 marzo, 2019

Velocidad, flexibilidad y escalabilidad son las ventajas resultantes de haber adoptado una arquitectura de integración ágil. Red Hat, Inc., el…

Más del 90% de los dominios fraudulentos detectados en 2018 sigue activo
Actualidad
29 compartido3,300 visualizaciones
Actualidad
29 compartido3,300 visualizaciones

Más del 90% de los dominios fraudulentos detectados en 2018 sigue activo

Vicente Ramírez - 27 junio, 2019

El registro de nombres de sitios web fraudulentos creció un 11% entre el primer y cuarto trimestre del año pasado.…

Proofpoint presenta importantes novedades en ciberseguridad y cumplimiento para proteger mejor a los usuarios frente a ataques dirigidos
Actualidad
1000 visualizaciones
Actualidad
1000 visualizaciones

Proofpoint presenta importantes novedades en ciberseguridad y cumplimiento para proteger mejor a los usuarios frente a ataques dirigidos

Alicia Burrueco - 6 septiembre, 2019

La compañía incorpora mejoras en cuanto a inteligencia de amenazas, seguridad para aplicaciones en la nube, detección de fraudes y…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.