TA505 refuerza sus campañas maliciosas con una variante del malware FlawedGrace

TA505 refuerza sus campañas maliciosas con una variante del malware FlawedGrace

Los investigadores de Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, han estado rastreando desde el pasado septiembre nuevas campañas de malware por parte de TA505, un grupo de ciberdelincuentes establecido con motivaciones meramente económicas al que se le conoce por enviar correos maliciosos a una escala sin precedentes. El uso del malware FlawedGrace, vinculado casi exclusivamente a la actividad de TA505, así como similitudes de código y patrones en nombres de dominio hacen que Proofpoint atribuya con confianza las campañas a este grupo.

En septiembre dichas campañas de TA505 se caracterizaban por su volumen relativamente pequeño, contando miles de emails en cada oleada donde se incluían archivos adjuntos maliciosos en formato Excel. De ahí se intensificó, entre finales de septiembre y principios de octubre, a decenas y cientos de miles de correos electrónicos, combinando URLs maliciosas y archivos adjuntos, dirigidos a más sectores empresariales no solo en Norteamérica, sino también en países como Alemania y Austria.

Desde Proofpoint se ha observado que muchas de estas campañas maliciosas, especialmente las de gran volumen, tenían un gran parecido con la actividad registrada de este grupo entre 2019 y 2020. Como puntos en común se incluían similitudes en nombres de dominio, señuelos en emails y archivos de Excel, así como el envío del mencionado FlawedGrace como troyano de acceso remoto (RAT). No obstante, en esta ocasión, las campañas también presentaban algunas novedades importantes dignas de mención como etapas intermedias de loader con lenguajes de scripting Rebol y KiXtart, en lugar del downloader Get2, además de una versión actualizada de FlawedGrace. Los loaders realizaban un reconocimiento mínimo de la máquina infectada, recopilando información sobre el dominio y el nombre de usuario, para descargar más payloads.

TA505 empleó al inicio en sus mensajes señuelos relacionados con temas legales, comunicados de prensa, informes de situaciones o reclamaciones médicas. Posteriormente, en octubre, los cebos pasaron a ser más genéricos incluyendo asuntos de email como «archivo seguro», «documento seguro» o «se le ha enviado un mensaje seguro» en relación a la Covid-19, seguros y facturas o mencionando marcas como Microsoft y DocuSign.

TA505 refuerza sus campañas maliciosas con una variante del malware FlawedGrace

A la izquierda, una hoja de Excel con el logo de Microsoft enviada por TA505 en septiembre de 2020, y, a la derecha, un documento idéntico al distribuido en octubre de este año por el mismo grupo.

TA505 cambia regularmente sus tácticas, técnicas y procedimientos (TTPs), marcando tendencia dentro del mundo de la ciberdelincuencia, sin limitar los objetivos, las geografías o los sectores que elige para atacar. Si a esto se le une su capacidad para ser flexible, centrándose en lo que le resulta más lucrativo y cambiando sus TTPS siempre que sea necesario, nos encontramos con que TA505 se convierte en una amenaza constante hoy día dentro del panorama de la ciberseguridad.

Para Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección de Proofpoint, “seguir la pista a TA505 es uno de esos placeres culpables dentro del cibercrimen por tratarse de unos verdaderos pioneros en este mundillo y cambiar tan a menudo sus TTPs”. “Aunque su actividad en esta reciente campaña recuerda a la seguida en 2019 y 2020”, prosigue la experta en ciberseguridad, “no faltan algunos elementos nuevos e intrigantes, además de la actualización de FlawedGrace, como ciertos ajustes en las etapas de loader intermedio, sustituyendo el fiable Get2 por nuevos downloaders codificados en lenguajes de scripting poco habituales”.

El equipo de investigación de Proofpoint prevé que TA505 siga adaptando su operativa y métodos de ataque con la vista puesta en lograr el máximo beneficio económico, siendo probable además que continúe utilizando loaders intermedios en su cadena de ataque como técnica a largo plazo.

Sobre el autor