I ricercatori di Proofpoint hanno identificato un nuovo gruppo di minacce molto attivo, TA2721, che utilizza esche in lingua spagnola per distribuire un trojan di accesso remoto (RAT) chiamato Bandook.

Il gruppo si rivolge prevalentemente a individui con cognomi in lingua spagnola, come Pérez, Castillo, Ortiz, ecc., presso organizzazioni globali di più settori diversi.

I ricercatori di Proofpoint hanno soprannominato il gruppo Caliente Bandits per il loro uso degli account di posta elettronica di Hotmail: “caliente”.

La catena di infezione presenta un allegato PDF contenente un URL e una password che, se cliccati, portano a un file RAR crittografato che installa il malware Bandook.  Questo attore distribuisce due diverse varianti di Bandook.

“Bandook è un malware di base, ma le tattiche utilizzate nelle campagne dimostrano alcuni tentativi di eludere il rilevamento e aggiungere ulteriori sforzi per l’attaccante. La protezione tramite password dell’archivio dannoso è un modo semplice per rendere più difficile il rilevamento da parte dei prodotti di analisi automatica e l’attenzione specifica sui cognomi in lingua spagnola insieme al targeting a basso volume suggerisce che l’autore della minaccia ha condotto una ricognizione prima di implementare le campagne”, si legge nel report dei ricercatori

TA2721 invia messaggi in lingua spagnola mascherandosi da aziende situate in Sud America, in genere Venezuela e Messico. Vengono inviati da indirizzi di posta elettronica Hotmail o Gmail. Gli argomenti e i nomi dei file in genere contengono i termini “PRESUPUESTO (Bilancio)”, “COTIZACION (Preventivo)” e “rcibo de pago (ricevuta di pagamento)”.

TA2721 utilizza generalmente la stessa infrastruttura di comando e controllo (C2) per settimane o mesi alla volta.

Le campagne sono a basso volume, con meno di 300 messaggi per campagna. Da gennaio 2021, è stato osservato che  TA2721 inviava campagne a basso volume con un impatto su meno di 100 organizzazioni alla volta. Gli obiettivi includono entità nel settore manifatturiero, automobilistico, alimentare e delle bevande, dell’intrattenimento e dei media, bancario, assicurativo e agricolo. Le organizzazioni mirate includevano entità negli Stati Uniti, in Europa e in Sud America, sia organizzazioni multinazionali che piccole imprese.

 

https://www.proofpoint.com/us/blog/threat-insight/new-threat-actor-uses-spanish-language-lures-distribute-seldom-observed-bandook

Twitter
Visit Us
LinkedIn
Share
YOUTUBE