El grupo de APT TA2721 lanza el malware Bandook a objetivos de habla hispana
- Endpoint
A través del envío de un correo electrónico fraudulento cuyo cebo responde a asuntos relacionados con pagos, TA2721 incita a los usuarios a abrir un PDF que contiene una URL y contraseña incrustadas que conducen a un archivo RAR cifrado que instala el malware.
|
Recomendados: Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar Anatomía del ataque a una cuenta privilegiada Leer |
El equipo de investigación de Proofpoint ha identificado a un nuevo grupo de ciberdelincuentes bastante activo, TA2721, que envía emails fraudulentos en español a empleados de multinacionales y otras empresas de menor tamaño con sede en Estados Unidos, Europa y Suramérica de numerosos sectores —fabricación, automoción, alimentación y bebidas, medios de comunicación y entretenimiento, banca, seguros o agricultura—. Su principal objetivo es distribuir un troyano de acceso remoto (RAT) conocido como Bandook.
En las campañas analizadas, los atacantes suelen dirigirse a un grupo reducido de individuos con apellidos comunes en español, como Pérez, Castillo u Ortiz. Estos reciben un correo cuyo cebo responde a asuntos relacionados con pagos, con asuntos como "presupuesto", "cotización" o "recibo", enviado desde una dirección de Gmail o Hotmail. De ahí viene precisamente el apodo "bandidos calientes" con el que Proofpoint llama a los ciberdelincuentes TA2721.
El pasado enero los investigadores de Proofpoint comenzaron a rastrear a este grupo capaz de entregar desde abril distintas amenazas por correo electrónico a la semana. Se trata de campañas de bajo volumen con menos de 300 mensajes cada una y capacidad para impactar en menos de un centenar de organizaciones a la vez. En sus mensajes, TA2721 incita a los usuarios a abrir un PDF que contiene una URL y contraseña incrustadas que, al hacer clic, conducen a un archivo RAR cifrado que instala el malware Bandook.
Pese a su disponibilidad y antigüedad de uso, Proofpoint no ha observado a ningún otro actor de amenazas que utilice este malware. De hecho, desde 2015, solo se han registrado alrededor de 40 campañas que distribuyen Bandook, y las perpetradas por TA2721 en 2021 representan más del 50% de la actividad observada.
Desde la compañía prevén que este grupo continuará utilizando señuelos, cadenas de infección y contraseñas similares a los de estas campañas con un conjunto limitado de variantes del malware Bandook mientras rota a través de dominios C2. Otra de las conclusiones es que este grupo tiende a utilizar la misma infraestructura de mando y control (C2) durante semanas o meses.
