2CMV-00015-001 CSIRT Advierte sobre Campañas de Phishing con el actor TA505

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), ha observado varias campañas de phishing con el actor TA505 (nombre asignado por Proofpoint). Este grupo utiliza los
troyanos bancarios Dridex y Locky ransomware y Rat. En los últimos análisis se ha observado en sus ataques otras familias de malware como FlawedGrace, FlawedAmmy y ServHelper. Según
investigaciones de TredMicro estos ataques se han observado en los países como Emiratos Árabes Unidos, Arabia Saudita, India, Japón, Argentina, Filipinas y Corea del Sur. CSIRT también ha
identificado campañas en Chile.
Los atacantes utilizan como vector de entrada los correos electrónicos para poder infectar los equipos, el correo electrónico que contiene archivo adjunto como Word o Excel y URL’S maliciosas.
Al ser ejecutado el documento, se instala automáticamente una función macro que ejecuta un proceso y, a su vez, descarga un archivo MSI, el cual ejecuta otro ejecutable en la memoria para luego tener comunicación con server comando control

Informe

El informe está disponible en el siguiente enlace: 2CMV-00015-001