Se ha detectado una nueva campaña de spam malicioso que distribuye programas maliciosos, como ransomware, troyanos bancarios y puertas traseras, a víctimas de distintas regiones geográficas.
Estas campañas son interesantes porque todas utilizan dominios similares y marcas robadas a diversos organismos gubernamentales, cada una vinculada específicamente a los países a los que se dirigen para dar una sensación de legitimidad local y urgencia a sus mensajes.
Resumen
Su objetivo son las organizaciones de servicios informáticos, fabricación y sanidad, que utilizan estas falsas agencias gubernamentales para convencer a los usuarios de que lean estos correos electrónicos y abran sus archivos adjuntos.
Campaña de spam
Campaña de spam lanzada por organizaciones
Paralelamente, mientras se sigue analizando el origen de las campañas, algunos investigadores de amenazas dijo: "las campañas de spam están siendo lanzados y coordinados por una única organización criminal".
En Estados UnidosLos ciberdelincuentes están enviando correos electrónicos haciéndose pasar por el Servicio Postal de Estados Unidos (USPS), con un documento de Word malicioso llamado 'USPS_Deliver.doc' adjunto.
Además de describir el archivo adjunto como urgente, el texto también engaña al usuario haciéndole creer que el documento está cifrado y debe abrirse para poder leerlo.
Como era de esperar, al abrir el documento se activa una macro maliciosa que instala el virus Troyano IceID banker en el ordenador de la víctima e intenta robar sus credenciales de banca online.
En la campaña de spam dirigida a Alemania Los autores de las amenazas se hacen pasar por el Bundeszentralamt fur Steuern, el Ministerio de Hacienda alemán. En este caso, los actores utilizan una herramienta informática con licencia comercial, Cobalt Strike.
Esta herramienta emula el tipo de estructura de puerta trasera utilizada por la herramienta de penetración, En Tunnel Mode (Modo túnel), desactive Enable split tunneling for IPv4 and IPv6 traffic (Activar túnel dividido para tráfico IPv4 e IPv6) para garantizar que todo el tráfico de Internet pasa a través de FortiGate..
De nuevo, el actor de la amenaza intenta convencer al destinatario de que el documento malicioso adjunto es legítimo e importante, y que la única forma de verlo es habilitar el contenido.
En la campaña de spam dirigida a Italia los autores representan a la Agencia Tributaria italiana, Agenzia Delle Entrate. En esta campaña, fingen que el correo electrónico y la carta adjunta tratan sobre nuevas directrices fiscales y de ingresos que las empresas y los consumidores deben seguir y recomiendan abrir el archivo adjunto, que, por supuesto, es malicioso.
Usuarios desprevenidos
Hacerse pasar por una agencia gubernamental es especialmente eficaz a la hora de atraer a usuarios desprevenidos para que abran archivos adjuntos maliciosos. En esta inusual campaña, los malos actores desarrollaron mensajes elaborados, sitios web similares y otros contenidos para varias agencias de distintos países.
Tenga en cuenta que, a continuación, utilizan estrategias específicas para garantizar que las personas incluidas en una campaña de Spam proceden de los respectivos países, aunque algunos cruces no deben informar de las víctimas, ya que los organismos de cada campaña son únicos.
Mantente alerta
Los usuarios deben desconfiar cuando vean correos electrónicos de organismos públicos, ya que éstos suelen utilizar únicamente los sistemas postales tradicionales para interactuar con los ciudadanos.
Tome precauciones en su entorno con ciberseguridad bien posicionados en instituciones como, Laboratorios NSS
Preste especial atención a la información supuestamente relacionada con devoluciones de impuestos, ya que los gobiernos casi nunca envían este tipo de comunicaciones sensibles por correo electrónico, y menos en Brasil.
Sepa que los ciberdelincuentes son listos, sin embargo, saben que estas tácticas de ingeniería social funcionan porque muchas de sus víctimas desconocen estas políticas de comunicación.
Como siempre, tenga cuidado y nunca abra un archivo adjunto inesperado. En caso de duda, lo mejor es llamar directamente a la agencia para confirmar que el correo electrónico es legítimo.
Mitigación
O FortiGuard Labs dispone de las siguientes detecciones para hacer frente a estas campañas de Spam.
Filtrado web
Los laboratorios FortiGuard clasificó todos los dominios relacionados con correos electrónicos de phishing identificadas en este informe como URL de spam / sitios maliciosos de nuestra categoría.
FortiMail
FortiMail identifica y bloquea estas campañas de spam de ingeniería social con las siguientes firmas AV:
- VBA / ¡Agente.5751! Tr.dldr
- VBA / ¡Agente.68D6! Tr.dldr
- ¡VBA / Agente.QHD! Tr
- ¡VBA / Agente.UB! Tr
Materia original en inglés aquí.
