TA866 toma capturas de pantalla para elegir a sus víctimas

Un nuevo grupo delictivo se mueve en la red acometiendo estafas financieras a usuarios y empresas. TA866 se diferencia de otros grupos de atacantes en que realiza capturas de pantalla en los dispositivos de sus víctimas antes de instalarles un bot o stealer malicioso.

Estas conclusiones se han podido extraer a raíz del último estudio presentado por los investigadores de Proofpoint, quienes entre octubre de 2022 y enero de 2023 han analizado cómo se comportan los integrantes de TA866. La campaña FINTEAM de abril de 2019 descrita por Check Point y Trend Micro incluía un archivo adjunto denominado "Military Financing.xlsm".

Una vez que han entrado en los dispositivos, los hackers se dedican a grabar y a hacer "pantallazos" de la actividad de sus potenciales víctimas, y si les interesa la información obtenida, es cuando proceden a infectarlos. Son ataques muy meditados y a escala que les permite obtener servicios de otros proveedores.

En octubre, TA866 envió un número exacto de correos electrónicos, siendo los meses de noviembre y diciembre en los que se registró un aumento en el envío de mensajes y en las estafas acometidas. Los envíos, normalmente de archivos de Publisher, se realizaban una o dos veces por semana al principio para luego llegar a realizarse una media de cuatro envíos semanales. Ya a principios de 2023 se percibió un descenso considerable en la frecuencia de las campañas, aunque la cantidad de emails enviados siguió aumentando, siendo los días 23 y 24 de enero los de mayor actividad.

Entre las actividades más recientes llevadas a cabo por TA866 destaca las realizadas en marzo de 2022, cuando se dirigieron a diferentes miembros de gobiernos europeos involucrados en los movimientos de refugiados después de la guerra de Ucrania. Por las líneas de código que han detectado los investigadores, así como por las bases de sus ataques, todo apunta a que se trata de un grupo de actuación de origen ruso.

Las investigaciones de Proofpoint señalan que se han encontrado comentarios escritos en ruso dentro del código del AHK Bot, por lo que el desarrollador de la herramienta es nativo, o de lo contrario, se han copiado de otras fuentes sin eliminar esas frases. No obstante, AHK Bot podría ser de uso exclusivo de un ecosistema cerrado de ciberdelincuencia para sus amenazas.
Su metodología

TA866 siempre sigue una misma dinámica en sus actuaciones. Comienzan enviando un correo electrónico con un archivo adjunto (normalmente PDF o de Publisher) o URL que lleva a los malwares WasabiSeed y Screenshotter a entrar, sin impedimento alguno, en el dispositivo de la víctima. Se pueden emplear también programas maliciosos como Rhadamanthys Stealer y AHK Bot.

Mediante la técnica de thread hijacking o secuestro de hilos de conversación, enviados mediante señuelos, los usuarios son incitados a abrir una presentación adjunta. No obstante, TA866 no solo se introduce en los dispositivos a través de la carpeta de spam de correo electrónico, sino también mediante anuncios falsos, a modo de gancho, instalados en diferentes páginas web a partir de Google Ads.

Los ciberdelincuentes de TA866 examinan manualmente las capturas de pantalla de sus víctimas durante su horario de trabajo con el malware Screenshotter. A partir de ahí, realizan un perfil de cada usuario y determinan si les resulta útil o no continuar con la infección.

Para que un ataque de TA866 triunfe, será necesario que el usuario hiciese clic en un enlace o interactuase con un archivo malicioso que descarga y ejecuta. Por todo ello, el mejor remedio que existe para frenar su poder de actuación es la educación en ciberseguridad, es decir, que informen sobre estos correos electrónicos y otras actividades sospechosas a la compañía.
Su ámbito de influencia

Los ataques de TA866 se dirigen especialmente a medianas y grandes empresas, y aunque bien es cierto que se han centrado en organizaciones de distintos sectores económicos de Estados Unidos, están expandiendo su poder de actuación hasta Europa, especialmente a Alemania (entre el 8 de diciembre de 2022 y el 24 de enero de 2023). No obstante, no siempre tienen pretensiones de carácter financiero, pues en 2019 se concluyó que sus objetivos estaban relacionados con el ciberespionaje.

Fuente: MuySeguridad

Suscríbete a nuestro Boletín