Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Ciberdelincuentes utilizan capturas de pantalla para espiar a sus víctimas


Un grupo delictivo se mueve en la red acometiendo estafas financieras a usuarios y empresas. TA866 se diferencia de otros grupos de atacantes en que realiza capturas de pantalla en los dispositivos de sus víctimas antes de instalarles un bot o stealer malicioso.




Estas conclusiones se han podido extraer a raíz del último estudio presentado por los investigadores de Proofpoint, quienes entre octubre de 2022 y enero de 2023 han analizado cómo se comportan los integrantes de TA866. Una vez que han entrado en los dispositivos, los hackers se dedican a grabar y a hacer ‘pantallazos’ de la actividad de sus potenciales víctimas, y si les interesa la información obtenida, es cuando proceden a infectarlos. Son ataques muy meditados y a escala que les permite obtener servicios de otros proveedores





En octubre, TA866 envió un número exacto de correos electrónicos, siendo los meses de noviembre y diciembre en los que se registró un aumento en el envío de mensajes y en las estafas acometidas. Los envíos, normalmente de archivos de Publisher, se realizaban una o dos veces por semana al principio para luego llegar a realizarse una media de cuatro envíos semanales. Ya a principios de 2023 se percibió un descenso considerable en la frecuencia de las campañas, aunque la cantidad de emails enviados siguió aumentando, siendo los días 23 y 24 de enero los de mayor actividad.

Entre las actividades más recientes llevadas a cabo por TA866 destaca las realizadas en marzo de 2022, cuando se dirigieron a diferentes miembros de gobiernos europeos involucrados en los movimientos de refugiados después de la guerra de Ucrania. Por las líneas de código que han detectado los investigadores, así como por las bases de sus ataques, todo apunta a que se trata de un grupo de actuación de origen ruso.

Las investigaciones de Proofpoint señalan que se han encontrado comentarios escritos en ruso dentro del código del AHK Bot, por lo que el desarrollador de la herramienta es nativo, o de lo contrario, se han copiado de otras fuentes sin eliminar esas frases. No obstante, AHK Bot podría ser de uso exclusivo de un ecosistema cerrado de ciberdelincuencia para sus amenazas.

Metodología

TA866 siempre sigue una misma dinámica en sus actuaciones. Comienzan enviando un correo electrónico con un archivo adjunto (normalmente PDF o de Publisher) o URL que lleva a los malwares WasabiSeed y Screenshotter a entrar, sin impedimento alguno, en el dispositivo de la víctima. Se pueden emplear también programas maliciosos como Rhadamanthys Stealer y AHK Bot.


Mediante la técnica de thread hijacking o secuestro de hilos de conversación, enviados mediante señuelos, los usuarios son incitados a abrir una presentación adjunta. No obstante, TA866 no solo se introduce en los dispositivos a través de la carpeta de spam de correo electrónico, sino también mediante anuncios falsos, a modo de gancho, instalados en diferentes páginas web a partir de Google Ads.

Los ciberdelincuentes de TA866 examinan manualmente las capturas de pantalla de sus víctimas durante su horario de trabajo con el malware Screenshotter. A partir de ahí, realizan un perfil de cada usuario y determinan si les resulta útil o no continuar con la infección.

Para que un ataque de TA866 triunfe, será necesario que el usuario hiciese clic en un enlace o interactuase con un archivo malicioso que descarga y ejecuta. Por todo ello, el mejor remedio que existe para frenar su poder de actuación es la educación en ciberseguridad, es decir, que informen sobre estos correos electrónicos y otras actividades sospechosas a la compañía.

Su ámbito de influencia

Los ataques de TA866 se dirigen especialmente a medianas y grandes empresas, y aunque bien es cierto que se han centrado en organizaciones de distintos sectores económicos de Estados Unidos, están expandiendo su poder de actuación hasta Europa, especialmente a Alemania (entre el 8 de diciembre de 2022 y el 24 de enero de 2023). No obstante, no siempre tienen pretensiones de carácter financiero, pues en 2019 se concluyó que sus objetivos estaban relacionados con el ciberespionaje.

Víctimas y procedencia de TA866

Las campañas detectadas hasta el momento han estado dirigidas principalmente a un reducido grupo de organizaciones en Estados Unidos y en Alemania.

En cuanto al origen, los investigadores de Proofpoint han hallado comentarios en ruso dentro del código del AHK Bot desplegado en estas campañas. Esto podría indicar que el desarrollador de esta herramienta es nativo o que el código se ha copiado de otras fuentes sin eliminar estas frases.

“Aunque nuestras investigaciones recientes sugieren que las campañas de TA866 tienen una motivación financiera, hemos podido identificar varios grupos en activo desde 2019, que se solapan con la actividad de TA866, cuyos objetivos podrían ser también de ciberespionaje”, advierten desde Proofpoint.

"Es importante tener en cuenta que para que un ataque sea exitoso, el usuario tiene que hacer clic en un enlace o interactuar con un archivo malicioso para descargar y ejecutar las cargas útiles adicionales. Por eso, desde las organizaciones se debe educar a los usuarios acerca de estas amenazas y animarles a informar sobre correos electrónicos y otras actividades sospechosas que puedan suponer un riesgo, recomiendan los investigadores.

Fuentes:

https://www.muyseguridad.net/2023/04/21/ta866-ciberdelincuentes-capturas-pantalla-victimas/

https://www.escudodigital.com/ciberseguridad/grupo-ciberdelincuentes-toma-capturas-pantalla-sus-posibles-victimas_55064_102.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.