El actor de ciberamenazas TA544 lanza nuevas campañas de malware

  • Seguridad

Según investigadores de Proofpoint, TA544 ha emitido seis cargas maliciosas de carácter único, así como mensajes adaptados a cada región en su correspondiente idioma. En el caso de España, este actor de amenazas inició en 2017 una campaña con el malware ZLoader contra organizaciones de todo tipo.

Desde principios de 2017, TA544 ha destacado por ser uno de los actores más prevalecientes del panorama actual de ciberamenazas, así como por su especialización en campañas dirigidas a áreas geográficas muy concretas, distribuyendo en los dos últimos años decenas de millones de mensajes maliciosos repartidos entre ocho países objetivo, entre ellos España. Hasta la fecha, TA544 ha emitido seis cargas maliciosas de carácter único, aunque con distintas variaciones en cada una de ellas.

Según una investigación de Proofpoint, este actor de amenazas estaba especializado en sus inicios en campañas del malware bancario Panda en Italia y, de ahí, se ha ido extendiendo precisamente a España, además de Polonia, Alemania y Japón, entre otros territorios, usando una amplia variedad de software malicioso como Chthonic, Smoke Loader, Nymaim, ZLoader y URLZone en combinación con Ursnif.

Junto a este amplio abanico de malware, TA544 enviaba también mensajes adaptados a cada región en su correspondiente idioma, incluyendo nombres de archivo, asuntos y marcas relevantes a nivel local. En el caso de España, este actor de amenazas inició en 2017 una campaña con el malware ZLoader, teniendo en el punto de mira a organizaciones de los sectores tecnológico, industrial y hotelero con el fin de recaudar dinero de forma fraudulenta. Dicha campaña comenzó experimentalmente en agosto de 2017 y finalizó en septiembre de 2017.

Estas campañas utilizan mecanismos de ingeniería social simples que incluyen líneas de asunto temáticas de pago. A menudo, estos mensajes contienen un mensaje breve y genérico sobre próximos plazos de pago, facturas escaneadas o pagos de facturas, y generalmente contienen documentos de Microsoft Excel con macros.

Una característica notable de TA544 es su uso de la esteganografía, que es el proceso de ocultar el código dentro de las imágenes. TA544 ha implementado esta estrategia en las recientes campañas japonesa e italiana, incorporando imágenes esteganográficas de referencia de la cultura pop en documentos adjuntos de Microsoft Office. Cuando el usuario habilita las macros, el código ofuscado descarga e instala malware, generalmente URLZone y / o Ursnif.