Investigadores de la empresa especializada en ciberseguridad y cumplimiento normativo, Proofpoint, han rastreado la actividad del grupo que han denominado TA866 cuya técnica de intrusión consiste en estudiar el comportamiento de los usuarios mediante pantallazos de su actividad antes de instalar bots o stealers maliciosos. Luego realizan ataques bien planificados y a escala para apoderarse de herramientas y servicios de otros proveedores.
Esta organización podría estar activa desde 2019, aunque sus apariciones más recientes se detectaron entre octubre de 2022 y enero de 2023. En noviembre de 2022, TA866 amplió masivamente su operación para enviar decenas de miles de correos electrónicos de phishing de dos a cuatro veces por semana. Y en solo dos días de enero, más de 1.000 organizaciones fueron atacadas, según ha detectado Proofpoint.
Según los análisis, el ataque empieza por un correo electrónico con un archivo adjunto o URL que conduce a los malwares WasabiSeed y Screenshotter, así como a los programas maliciosos Rhadamanthys Stealer y AHK Bot. Estos emails parecen utilizar la técnica de thread hijacking o secuestro de hilos de conversación previamente existentes en foros de discusión, con señuelos en los que se incita a los destinatarios a abrir una presentación adjunta. Otras investigaciones han descubierto que estas infecciones se producen por spam de correo electrónico y también a partir de Google Ads.
Lo que hace estos ataques más personalizados es el análisis manual de las capturas de pantalla que realizan los delincuentes para identificar objetivos de valor, hacer un perfil de estos, determinar su utilidad potencial y si debe proseguir con la infección.
Si a criterio del atacante la víctima representa una oportunidad para ganar dinero, descargará más herramientas de post-explotación, incluyendo componentes del bot AHK que realizan el reconocimiento del dominio Active Directory del objetivo, detalla Ciberseguridad Latam.
A continuación, el atacante carga el Rhadamanthys Stealer, un malware comercial diseñado para robar monederos de criptomonedas, cuentas de Steam, contraseñas de navegadores, clientes FTP, clientes de chat, clientes de correo electrónico, configuraciones de VPN, cookies y archivos.
Víctimas y procedencia de TA866
Las campañas detectadas hasta el momento han estado dirigidas principalmente a un reducido grupo de organizaciones en Estados Unidos y en Alemania.
En cuanto al origen, los investigadores de Proofpoint han hallado comentarios en ruso dentro del código del AHK Bot desplegado en estas campañas. Esto podría indicar que el desarrollador de esta herramienta es nativo o que el código se ha copiado de otras fuentes sin eliminar estas frases.
“Aunque nuestras investigaciones recientes sugieren que las campañas de TA866 tienen una motivación financiera, hemos podido identificar varios grupos en activo desde 2019, que se solapan con la actividad de TA866, cuyos objetivos podrían ser también de ciberespionaje”, advierten desde Proofpoint.
"Es importante tener en cuenta que para que un ataque sea exitoso, el usuario tiene que hacer clic en un enlace o interactuar con un archivo malicioso para descargar y ejecutar las cargas útiles adicionales. Por eso, desde las organizaciones se debe educar a los usuarios acerca de estas amenazas y animarles a informar sobre correos electrónicos y otras actividades sospechosas que puedan suponer un riesgo”, recomiendan los investigadores.