Una nueva variante del malware FlawedGrace pone en jaque la seguridad de las personas

El grupo de ciberdelincuentes TA505 está poniendo en jaque la seguridad de la personas mediante el uso del malware FlawedGrace, así como otras similitudes de código y patrones, según ha podido confirmar la empresa en ciberseguridad Proofpoint.

A lo largo de septiembre, las campañas de TA505 se caracterizaban por un envío reducido de emails en cada oleada, aunque con el paso de los días, y la llegada de octubre, este número aumentó hasta decenas y cientos de miles de correos, todos ellos combinados con urls maliciosas y archivos adjuntos que buscaban sustraer información de los usuarios.

Desde Proofpoint se ha observado que muchas de estas campañas maliciosas, especialmente las de gran volumen, tenían un gran parecido con la actividad registrada de este grupo entre 2019 y 2020. Como puntos en común se incluían similitudes en nombres de dominio, señuelos en emails y archivos de Excel, así como el envío del mencionado FlawedGrace como troyano de acceso remoto (RAT). No obstante, en esta ocasión, las campañas también presentaban algunas novedades importantes dignas de mención como etapas intermedias de loader con lenguajes de scripting Rebol y KiXtart, en lugar del downloader Get2, además de una versión actualizada de FlawedGrace. Los loaders realizaban un reconocimiento mínimo de la máquina infectada, recopilando información sobre el dominio y el nombre de usuario, para descargar más payloads.

TA505 empleó al inicio en sus mensajes señuelos relacionados con temas legales, comunicados de prensa, informes de situaciones o reclamaciones médicas. Posteriormente, en octubre, los cebos pasaron a ser más genéricos incluyendo asuntos de email como «archivo seguro», «documento seguro» o «se le ha enviado un mensaje seguro» en relación a la Covid-19, seguros y facturas o mencionando marcas como Microsoft y DocuSign.

TA505 cambia regularmente sus tácticas, técnicas y procedimientos (TTPs), marcando tendencia dentro del mundo de la ciberdelincuencia, sin limitar los objetivos, las geografías o los sectores que elige para atacar. Si a esto se le une su capacidad para ser flexible, centrándose en lo que le resulta más lucrativo y cambiando sus TTPS siempre que sea necesario, nos encontramos con que TA505 se convierte en una amenaza constante hoy día dentro del panorama de la ciberseguridad.

Para Sherrod DeGrippo, directora sénior del equipo de Investigación y Detección de Proofpoint“seguir la pista a TA505 es uno de esos placeres culpables dentro del cibercrimen por tratarse de unos verdaderos pioneros en este mundillo y cambiar tan a menudo sus TTPs”“Aunque su actividad en esta reciente campaña recuerda a la seguida en 2019 y 2020”, prosigue la experta en ciberseguridad, “no faltan algunos elementos nuevos e intrigantes, además de la actualización de FlawedGrace, como ciertos ajustes en las etapas de loader intermedio, sustituyendo el fiable Get2 por nuevos downloaders codificados en lenguajes de scripting poco habituales”.

El equipo de investigación de Proofpoint prevé que TA505 siga adaptando su operativa y métodos de ataque con la vista puesta en lograr el máximo beneficio económico, siendo probable además que continúe utilizando loaders intermedios en su cadena de ataque como técnica a largo plazo.

Scroll al inicio