Actividad maliciosa obra del grupo TA505.
La compañía S21sec detectó una amenaza de phishing causado por el troyano tRAT, el cual se ejecuta a través de publicidad relacionada con el giro hotelero por medio de macros en documentos infectados y se oculta en logos e imágenes de marcas comerciales como antivirus para efectuar el robo de información sensible.
El ataque se trata de un modular escrito en lenguaje de programación Python, se comunica con el panel de control del dispositivo infectado e incluso puede descargar módulos adicionales mediante mensajes encriptados con distintas claves dependiendo del módulo que utilice, posteriormente el atacante es capaz de acceder a la información almacenada dentro del dispositivo, explicó la firma de seguridad informática.
Investigadores de Proofpoint, lograron detectar que la actividad maliciosa es obra de TA505, un grupo de cibercriminales conocidos por sus campañas con malware bancario y ransomware, destacó la firma española especializada en ciberseguridad, S21sec.
En la alerta, la compañía detalló que los ataques han sido realizados a través de dos operaciones que distribuyen el troyano tRAT; en la primera se utiliza la marca de una aplicación de reseñas hoteleras y una imagen de un supuesto video cargándose, si el usuario habilita los macros para “reproducir” el video, en automático se producirá la descarga del payload de tRAT.
El segundo ejemplo de intrusión, se desarrolla por medio de e-mails, los cibercriminales envían la imagen de un antivirus para computadoras personales y un archivo Word adjunto, en el mensaje del correo se puede leer: «Este documento ha sido asegurado por el fabricante», así hacen creer a las potenciales víctimas que el contenido del Word es seguro y con ello incitar a la habilitación de los macros, que posteriormente descargan el tRAT.
La compañía recomendó verificar que los remitentes de los documentos sean siempre fuentes confiables y no desconocidos, así como realizar un uso responsable al abrir un documento que incluya macros. Además de mantener actualizada la suite Microsoft Office y los parches de seguridad de la misma.
C$T-EVP