Proofpoint identifica dos nuevos grupos cibercriminales
- Actualidad

TA2726 y TA2727, ambos con motivaciones económicas, se han especializado en inyecciones maliciosas en sitios web legítimos que han sido comprometidos. Uno de ellos utiliza además un nuevo infostealer que recopila datos de los sistemas de Apple macOS.
Proofpoint ha identificado y bautizado dos nuevos grupos cibercriminales dedicados a la inyección de código malicioso en páginas web legítimas. Se trata de TA2726 y TA2727, que tienen motivaciones económicas. El primero de ellos, activo al menos desde 2022, sirve como servicio de distribución de tráfico para el segundo, además de dar el mismo servicio a TA569, el más conocido distribuidor de campañas maliciosas de inyección web.
La compañía explica que la cadena de ataque se compone de tres partes: por un lado, las inyecciones maliciosas que afectan a los visitantes de un sitio web; por otro, el servicio de distribución de tráfico que distribuyen las cargas entre los usuarios según determinadas opciones de filtrado; y, por último, la carga final que es la que descarga el script. Un mismo grupo puede llevar a cabo las tres fases, pero el trabajo puede estar distribuido en diferentes grupos.
Si TA2726 compromete los servidores o sites para facilitar las inyecciones de otros grupos, TA2727 compraría tráfico para difundir su propio malware o el de terceros. Además, las cargas de TA2727 incluyen FrigidStealer, un nuevo ladrón de información dirigido a macOS que es capaz de recopilar datos como cookies del navegador, archivos relacionados con contraseñas o criptomonedas o notas.
Desde Proofpoint explican que “es probable que la creciente amenaza de las inyecciones web se deba en parte a que las organizaciones están reforzando sus defensas contra amenazas como el envío de malware por correo electrónico y la explotación de redes de dispositivos periféricos, lo que obliga a los autores de las amenazas a adaptarse”.