Los ciberdelincuentes aprovechan la invasión de Rusia a Ucrania

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

En una entrada de blog publicada el viernes, los investigadores de Bitdefender Labs dijeron que habían sido testigos de “oleadas de correos electrónicos fraudulentos y maliciosos”, algunos de los cuales estaban diseñados para explotar las intenciones caritativas de los ciudadanos del mundo hacia el pueblo de Ucrania.

Desde el 1 de marzo, los investigadores han estado siguiendo dos campañas específicas de phishing diseñadas para infectar a las víctimas con los troyanos de acceso eliminado Agent Tesla y Remcos.

El Agente Tesla es un RAT de malware como servicio (MaaS) y un ladrón de datos que puede utilizarse para exfiltrar información sensible, incluyendo credenciales, pulsaciones de teclas y datos del portapapeles de las víctimas.

La RAT Remcos suele desplegarse a través de documentos o archivos maliciosos para dar al atacante el control total de los sistemas de sus víctimas. Una vez dentro, los atacantes pueden capturar pulsaciones de teclas, capturas de pantalla, credenciales y otros datos sensibles del sistema y exfiltrarlos.

La primera campaña detectada por los investigadores de amenazas se observó dirigida a organizaciones de la industria manufacturera a través de un archivo adjunto .zip llamado ‘REQ Supplier Survey’. A los destinatarios del correo electrónico se les pide que completen una encuesta sobre sus proveedores y planes de respaldo en respuesta al asalto a Ucrania.

La mayoría de estos ataques (86%) parecían originarse en direcciones IP de los Países Bajos. Los objetivos de los correos electrónicos maliciosos estaban repartidos por todo el mundo, incluyendo Corea del Sur (23%), Alemania (10%), Reino Unido (10%), Estados Unidos (8%), República Checa (14%), Irlanda (5%), Hungría (3%), Suecia (3%) y Australia (2%).

En la segunda campaña observada por los investigadores, los atacantes se hicieron pasar por una empresa sanitaria con sede en Corea del Sur para entregar el RAT Remcos a través de un archivo adjunto de Excel (SUCT220002.xlsx).

A los destinatarios se les pregunta si quieren suspender sus pedidos porque los envíos se han visto afectados por la mayor invasión terrestre que ha sufrido Europa desde la Segunda Guerra Mundial.

La mayoría de estos ataques (89%) parecían proceder de direcciones IP de Alemania, y la mayoría de las víctimas previstas se encontraban en Irlanda (32%), India (17%), Estados Unidos (7%) y Reino Unido (4%).

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *