Se ha detectado una nueva campaña de spam malicioso que distribuye programas maliciosos, como ransomware, troyanos bancarios y puertas traseras, a víctimas de distintas regiones geográficas.
Estas campañas son interesantes porque todas ellas utilizan dominios similares y marcas robadas a diversos organismos gubernamentales, cada una vinculada específicamente a los países a los que se dirigen para dar a sus mensajes una sensación de legitimidad y urgencia locales.
Resumen
Se dirigen a organizaciones de servicios informáticos, fabricación y sanidad que utilizan estas falsas agencias gubernamentales para convencer a los usuarios de que lean estos correos electrónicos y abran sus archivos adjuntos.
Campaña de spam
Campaña de spam lanzada por organizaciones
Paralelamente, mientras se sigue analizando el origen de las campañas, algunos investigadores de amenazas dijo: "las campañas de spam están siendo lanzados y coordinados por una única organización criminal".
En Estados UnidosA raíz de los atentados terroristas de USPS, los ciberdelincuentes están enviando correos electrónicos haciéndose pasar por el Servicio Postal de Estados Unidos (USPS), con un documento de Word malicioso llamado 'USPS_Deliver.doc' adjunto.
Además de describir el archivo adjunto como urgente, el texto también induce al usuario a pensar que el documento está cifrado y debe abrirse para poder leerlo.
Como era de esperar, la apertura del documento permite que una macro maliciosa instale el archivo Troyano IceID en el ordenador de la víctima e intenta robar sus credenciales de banca online.
En la campaña de spam dirigida a Alemania En el caso de Cobalt Strike, los autores de las amenazas se hacen pasar por el Bundeszentralamt fur Steuern, el Ministerio de Finanzas alemán. En este caso, los actores utilizan una herramienta de software con licencia comercial, Cobalt Strike.
Esta herramienta emula el tipo de estructura de puerta trasera utilizada por la herramienta de penetración, Metasploit.
Una vez más, el actor de la amenaza intenta convencer al destinatario de que el documento malicioso adjunto es legítimo e importante, y que la única forma de verlo es habilitar el contenido.
En la campaña de spam dirigida a Italia Los autores representan a la Agencia Tributaria italiana, Agenzia Delle Entrate. En esta campaña, fingen que el correo electrónico y la carta adjunta tratan sobre nuevas directrices fiscales y de ingresos que las empresas y los consumidores deben seguir y recomiendan abrir el archivo adjunto, que, por supuesto, es malicioso.
Usuarios desprevenidos
Hacerse pasar por una agencia gubernamental es especialmente eficaz para engañar a usuarios desprevenidos y hacerles abrir archivos adjuntos maliciosos. En esta inusual campaña, los ciberdelincuentes desarrollaron mensajes elaborados, sitios web similares y otros contenidos para varias agencias de distintos países.
Tenga en cuenta que, a continuación, utilizan estrategias específicas para garantizar que las personas incluidas en una campaña de Spam proceden de los respectivos países, aunque algunos cruces no deben informar de las víctimas, ya que los organismos de cada campaña son únicos.
Mantente alerta
Los usuarios deben desconfiar cuando vean correos electrónicos de organismos públicos, ya que éstos suelen utilizar únicamente los sistemas postales tradicionales para interactuar con los ciudadanos.
Tome precauciones en su entorno con ciberseguridad bien posicionados en instituciones como, Laboratorios NSS
Preste especial atención a la información supuestamente relacionada con devoluciones de impuestos, ya que los gobiernos casi nunca envían este tipo de comunicación sensible por correo electrónico, y menos en Brasil.
Tenga en cuenta que los ciberdelincuentes son inteligentes, pero saben que estas tácticas de ingeniería social funcionan porque muchas de sus víctimas desconocen estas políticas de comunicación.
Como siempre, tenga cuidado y nunca abra un archivo adjunto inesperado. En caso de duda, lo mejor es llamar directamente a la agencia para confirmar que el correo electrónico es legítimo.
Mitigación
O FortiGuard Labs dispone de las siguientes detecciones para hacer frente a estas campañas de spam.
Filtrado web
Los laboratorios FortiGuard clasificó todos los dominios relacionados con correos electrónicos de phishing identificadas en este informe como URL de spam / sitios maliciosos de nuestra categoría.
FortiMail
FortiMail identifica y bloquea estas campañas de spam de ingeniería social con las siguientes firmas AV:
- VBA / ¡Agente.5751! Tr.dldr
- VBA / ¡Agente.68D6! Tr.dldr
- VBA / ¡Agente.QHD! Tr
- ¡VBA / Agente.UB! Tr
Historia original en inglés aquí.
