Nueva campaña de phishing contra telecos, hoteles y restaurantes

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

Detectado por primera vez por Proofpoint en mayo de 2018, AdvisorsBot es un programa de descarga que ahora forma parte de una campaña de phishing diseñada específicamente para comprometer empresas de telecomunicaciones, restaurantes y hoteles. Según Proofpoint, la campaña probablemente sea obra de un actor de amenazas conocido como TA555, que utiliza este malware como carga útil de primera etapa.

Si bien AdvisorsBot es modular y contiene capacidades de comando y control (C&C), Proofpoint solo ha observado que el malware envía activamente datos de módulos de huellas dactilares, que utiliza para identificar objetivos potenciales, de regreso al C& . En los últimos cuatro meses, se han utilizado tres variaciones separadas de AdvisorsBot en campañas de ataque; la última versión incluía una versión de PowerShell del malware.

La clave del éxito de esta campaña de malware es el uso de correos electrónicos maliciosos diseñados para obtener una respuesta de los objetivos. Los restaurantes reciben mensajes sobre intoxicaciones alimentarias con informes adjuntos de doctores, por ejemplo, mientras que los hoteles reciben mensajes de correo electrónico sobre cargos por servicio doble. Por su parte, las empresas de telecomunicaciones reciben correos electrónicos de solicitudes de empleo con currículos adjuntos.

Si los usuarios abren estos archivos adjuntos maliciosos y habilitan macros de Microsoft Word, AdvisorsBot se descarga, toma huellas dactilares del sistema por si puede ser de interés para los atacantes y luego envía estos datos al servidor de C&C. El resultado es un mayor riesgo de éxito de suplantación de identidad (phishing) con correos electrónicos que pueden parecer legítimos.