En un reciente informe de Proofpoint, empresa puntera en ciberseguridad y cumplimiento normativo, se ha revelado el resurgimiento del grupo de ciberdelincuentes conocido como TA866. Tras una pausa de nueve meses, este colectivo ha vuelto a la actividad con una campaña masiva de correos electrónicos maliciosos dirigidos principalmente a objetivos en Norteamérica.
Nueva Campaña con Tácticas Renovadas
La campaña detectada por Proofpoint comenzó el 11 de enero de 2024, y se caracteriza por el envío de miles de emails que tratan sobre facturación. Estos correos incluyen archivos PDF adjuntos con enlaces a OneDrive. Al hacer clic en estos enlaces, se inicia una cadena de infección que conduce a la entrega de un malware, específicamente una variante del conjunto de herramientas WasabiSeed y Screenshotter.
Cadena de Infección Detallada
El proceso de infección se desarrolla en varias etapas:
- Activación del JavaScript: Al hacer clic en la URL incluida en el PDF, se entrega al usuario un archivo JavaScript alojado en OneDrive.
- Descarga y Ejecución del Archivo MSI: Al ejecutar el JavaScript, se descarga y ejecuta un archivo MSI.
- Ejecución del Script VBS WasabiSeed: El archivo MSI lleva a cabo un script VBS WasabiSeed incrustado.
- Descarga de Payloads Adicionales: Este script descarga y ejecuta un segundo archivo MSI, que continúa la búsqueda de payloads.
- Captura de Pantalla y Envío: Finalmente, el segundo archivo MSI toma una captura de pantalla del escritorio del usuario y la envía a los ciberdelincuentes.
Cambios Significativos en las Tácticas
Esta cadena de ataque guarda similitudes con la última campaña documentada de TA866, lo que facilitó su identificación por parte de los investigadores. No obstante, se observa una evolución en las tácticas del grupo, especialmente en el uso de archivos PDF con enlaces a OneDrive, en lugar de los archivos de Publisher con macros o URLs directas en el cuerpo del email que empleaban anteriormente.
Análisis de Proofpoint
Selena Larson, analista del equipo de investigación de amenazas de Proofpoint, destaca la singularidad del grupo TA866 en su uso de malware personalizado y servicios comerciales para la entrega de sus ataques. Además, señala la asociación de este grupo tanto con delitos electrónicos como con amenazas persistentes avanzadas (APT).
La reactivación de TA866 coincide con el retorno habitual de ciberdelincuentes tras las vacaciones de fin de año, un patrón observado en el ámbito de la ciberseguridad. Larson advierte que, a medida que avance el 2024, es probable que la actividad de amenazas en general aumente.
Conclusión
El retorno de TA866 subraya la importancia de mantener una vigilancia constante en el ámbito de la ciberseguridad. La evolución en las tácticas de este grupo refleja una adaptabilidad y sofisticación que plantea desafíos significativos tanto para individuos como para organizaciones. En este contexto, la prevención y la educación sobre ciberseguridad se vuelven más cruciales que nunca.
