Nueva campaña de spam

Se detectó una nueva campaña de spam malicioso que proporciona malware, incluido ransomware, troyanos bancarios y puertas traseras, a víctimas en diferentes regiones geográficas.

Estas campañas son interesantes porque todas usan dominios y marcas similares robadas de varias agencias gubernamentales, cada una vinculada específicamente a países que están dirigidos a dar un sentido de legitimidad local y urgencia a sus mensajes.

Se dirigen a organizaciones de servicios de TI, fabricación y atención médica que utilizan estas agencias gubernamentales falsificadas para convencer a los usuarios de que lean estos correos electrónicos y abran sus archivos adjuntos.

Campaña de spam lanzada por organizaciones

nueva campaña de spam

 

Paralelamente, mientras se sigue analizando el origen de las campañas, algunos investigadores de amenazas declaró: "campañas para correo no deseado están siendo lanzados y coordinados por una sola organización criminal ”.

nosotros Estados Unidos, los ciberdelincuentes envían correos electrónicos que fingen ser del Servicio Postal de los Estados Unidos (USPS), con un documento de Word malicioso llamado 'USPS_Deliver.doc' adjunto. 

Además de describir el adjunto como urgente, el texto también induce al usuario a pensar que el documento está encriptado y debe abrirse para ser leído.

Como era de esperar, abrir el documento permite una macro maliciosa que instala el Troyano IceID sistema bancario en la computadora de la víctima e intenta robar sus credenciales bancarias en línea.

En la campaña Spam dirigida a Alemania , los autores de las amenazas se disfrazan de Bundeszentralamt fur Steuern, el Ministerio de Finanzas alemán. En este caso, los actores están utilizando una herramienta de software con licencia comercial, Cobalt Strike. 

Esta herramienta emula el tipo de estructura de puerta trasera utilizada por la herramienta de penetración, Metasploit

Una vez más, el agente de amenazas intenta convencer al destinatario de que el documento malicioso adjunto es legítimo e importante, y que la única forma de verlo es habilitar el contenido.

En la campaña Spam dirigida a Italia , los autores representan a la Agencia Tributaria Italiana, Agenzia Delle Entrate. En esta campaña, pretenden que el correo electrónico y la carta adjunta son sobre nuevas pautas fiscales y de ingresos que las empresas y los consumidores deben seguir y recomiendan que abran el archivo adjunto, que, por supuesto, es malicioso.

Usuarios desprevenidos

Hacerse pasar por una agencia gubernamental es especialmente eficaz para inducir a los usuarios desprevenidos a abrir archivos adjuntos maliciosos. En esta campaña inusual, los malos actores desarrollaron mensajes elaborados, sitios web similares y otro contenido para diferentes agencias en diferentes países. 

Tenga en cuenta que luego utilizan estrategias específicas para asegurarse de que las personas incluidas en una campaña de correo no deseado sean de los respectivos países, aunque algunos cruces no deben informar a las víctimas, ya que las agencias en cada campaña son únicas.

Mantente alerta - Sospechoso

Los usuarios deben sospechar cuando ven correos electrónicos de agencias gubernamentales, ya que generalmente usan solo los sistemas postales tradicionales para interactuar con los ciudadanos. 

Tome precauciones en su entorno con la seguridad cibernética bien posicionado en instituciones como, Laboratorios NSS

Preste especial atención a la información supuestamente sobre reembolsos de impuestos, ya que los gobiernos casi nunca envían este tipo de comunicación confidencial por correo electrónico, y mucho menos en Brasil. 

Sepa que los ciberdelincuentes son inteligentes, sin embargo, saben que estas tácticas de ingeniería social funcionan porque muchas de sus víctimas desconocen estas políticas de comunicación.

Como siempre, tenga cuidado y nunca abra un archivo adjunto inesperado. En caso de duda, la mejor forma es llamar directamente a la agencia para confirmar que el correo electrónico es legítimo.

Mitigaciones

O FortiGuard Labs tiene las siguientes detecciones para hacer frente a estas campañas de spam.

Filtrado web

Los laboratorios FortiGuard clasificó todos los dominios relacionados con los correos electrónicos de suplantación de identidad identificados en este informe como URL no deseadas / sitios maliciosos en nuestra categoría.

FortiMail

FortiMail identifica y bloquea estas campañas de spam de ingeniería social con las siguientes firmas AV:

  • VBA / Agent.5751! Tr.dldr
  • VBA / Agent.68D6! Tr.dldr
  • VBA / Agent.QHD! Tr
  • VBA / Agent.UB! Tr

Artículo original en inglés aqui.

ES
Ir arriba