Proofpoint identifica dos nuevos grupos cibercriminales

Proofpoint ha identificado y bautizado dos nuevos grupos cibercriminales dedicados a la inyección de código malicioso en páginas web legítimas. Se trata de TA2726 y TA2727, que tienen motivaciones económicas. El primero de ellos, activo al menos desde 2022, sirve como servicio de distribución de tráfico para el segundo, además de dar el mismo servicio a TA569, el más conocido distribuidor de campañas maliciosas de inyección web.

La compañía explica que la cadena de ataque se compone de tres partes: por un lado, las inyecciones maliciosas que afectan a los visitantes de un sitio web; por otro, el servicio de distribución de tráfico que distribuyen las cargas entre los usuarios según determinadas opciones de filtrado; y, por último, la carga final que es la que descarga el script. Un mismo grupo puede llevar a cabo las tres fases, pero el trabajo puede estar distribuido en diferentes grupos.

Si TA2726 compromete los servidores o sites para facilitar las inyecciones de otros grupos, TA2727 compraría tráfico para difundir su propio malware o el de terceros. Además, las cargas de TA2727 incluyen FrigidStealer, un nuevo ladrón de información dirigido a macOS que es capaz de recopilar datos como cookies del navegador, archivos relacionados con contraseñas o criptomonedas o notas.

Desde Proofpoint explican que “es probable que la creciente amenaza de las inyecciones web se deba en parte a que las organizaciones están reforzando sus defensas contra amenazas como el envío de malware por correo electrónico y la explotación de redes de dispositivos periféricos, lo que obliga a los autores de las amenazas a adaptarse”.