TA866, el grupo de ciberdelincuentes que analiza con capturas de pantalla la actividad de sus potenciales víctimas

Proofpoint ha detectad un nuevo grupo de atacantes con claro objetivo financiero y que destaca por analizar la actividad de sus víctimas mediante capturas de pantalla antes de instalar un bot maliciosos. TA866 es el nombre asignado a este grupo de ciberdelincuentes, los cuales han sido monitorizados entre octubre de 2022 y enero de 2023. Este grupo es capaz de realizar ataques bien pensados para hacerse con herramientas y servicios de otros proveedores.

Según Proofpoint, la cadena de ataque empieza por un correo electrónico con un archivo adjunto o URL que conduce a los malwares WasabiSeed y Screenshotter, así como a los programas maliciosos Rhadamanthys Stealer y AHK Bot. Estos emails parecen utilizar la técnica de thread hijacking o secuestro de hilos de conversación previamente existentes con señuelos en los que se incita a los destinatarios a abrir una presentación adjunta. Al margen de esto, de acuerdo con investigaciones de terceros, la actividad de TA866 se iniciaría no solo a través de spam por correo electrónico, sino también a partir de Google Ads.

Sus campañas maliciosas se han dirigido principalmente a un grupo reducido de organizaciones de distintos sectores en Estados Unidos, aunque se han observado incursiones en Europa, concretamente a destinatarios alemanes, de manera esporádica. El pasado octubre, TA866 distribuyó un número limitado de correos; entre noviembre y diciembre, la escala de la operación creció y el volumen de mensajes subió drásticamente; y, a comienzos de este año, la frecuencia de la campañas se redujo, pero la cantidad de emails siguió en aumento.

Los ciberdelincuentes detrás de TA866 se dedican a examinar manualmente las capturas de pantalla que recogen la actividad de sus víctimas durante su horario de trabajo, tomando más capturas a través del malware Screenshotter si es necesario, para identificar objetivos de valor, hacer un perfil de estos, determinar su utilidad potencial si debe proseguir con la infección.

Las investigaciones de Proofpoint indican que se han encontrado comentarios escritos en ruso dentro del código del AHK Bot desplegado en estas campañas, lo cual podría indicar que el desarrollador de esta herramienta es nativo o que el código se ha copiado de otras fuentes sin eliminar estas frases. Sin bien, según los informes limitados que hay sobre AHK Bot, este parece ser de uso exclusivo de un ecosistema cerrado de ciberdelincuencia para sus amenazas.  

«Aunque nuestras investigaciones recientes sugieren que las campañas de TA866 tienen una motivación financiera, hemos podido identificar varios grupos en activo desde 2019, que se solapan con la actividad de TA866, cuyos objetivos podrían ser también de ciberespionaje», explican los investigadores de Proofpoint. «Es importante tener en cuenta que para que un ataque sea exitoso, el usuario tiene que hacer clic en un enlace o interactuar con un archivo maliciosos para descargar y ejecutar las cargas útiles adicionales. Por eso, desde las organizaciones se debe educar a los usuarios acerca de estas amenazas y animarles a informar sobre correos electrónicos y otras actividades sospechosas que puedan suponer un riesgo”.

Scroll al inicio