TA866, el grupo de ciberdelincuentes que analiza con capturas de pantalla la actividad de sus potenciales víctimas
Proofpoint, empresa de ciberseguridad y cumplimiento normativo, ha detectado a un nuevo grupo de atacantes con motivaciones financieras que se caracteriza, entre otras cosas, por analizar la actividad de sus víctimas mediante capturas de pantalla antes de instalar un bot o stealer maliciosos.
Entre octubre de 2022 y enero de 2023, los investigadores de Proofpoint han rastreado a TA866, como han denominado a estos ciberdelincuentes organizados, capaces de llevar a cabo ataques bien pensados y a escala para hacerse con herramientas y servicios de otros proveedores.
Según Proofpoint, la cadena de ataque empieza por un correo electrónico con un archivo adjunto o URL que conduce a los malwares WasabiSeed y Screenshotter, así como a los programas maliciosos Rhadamanthys Stealer y AHK Bot. Estos emails parecen utilizar la técnica de thread hijacking o secuestro de hilos de conversación previamente existentes con señuelos en los que se incita a los destinatarios a abrir una presentación adjunta. Al margen de esto, de acuerdo con investigaciones de terceros, la actividad de TA866 se iniciaría no solo a través de spam por email, sino también a partir de Google Ads.
Sus campañas maliciosas se han dirigido principalmente a un grupo reducido de organizaciones de distintos sectores en Estados Unidos, aunque se han observado incursiones en Europa, concretamente a destinatarios alemanes, de manera esporádica. El pasado octubre, TA866 distribuyó un número limitado de correos; entre noviembre y diciembre, la escala de la operación creció y el volumen de mensajes subió drásticamente; y, a comienzos de este año, la frecuencia de la campañas se redujo, pero la cantidad de emails siguió en aumento.
Los ciberdelincuentes detrás de TA866 se dedican a examinar manualmente las capturas de pantalla que recogen la actividad de sus víctimas durante su horario de trabajo, tomando más capturas a través del malware Screenshotter si es necesario, para identificar objetivos de valor, hacer un perfil de estos, determinar su utilidad potencial si debe proseguir con la infección.
Las investigaciones de Proofpoint indican que se han encontrado comentarios escritos en ruso dentro del código del AHK Bot desplegado en estas campañas, lo cual podría indicar que el desarrollador de esta herramienta es nativo o que el código se ha copiado de otras fuentes sin eliminar estas frases. Sin bien, según los informes limitados que hay sobre AHK Bot, este parece ser de uso exclusivo de un ecosistema cerrado de ciberdelincuencia para sus amenazas.
"Aunque nuestras investigaciones recientes sugieren que las campañas de TA866 tienen una motivación financiera, hemos podido identificar varios grupos en activo desde 2019, que se solapan con la actividad de TA866, cuyos objetivos podrían ser también de ciberespionaje", explican los investigadores de Proofpoint. "Es importante tener en cuenta que para que un ataque sea exitoso, el usuario tiene que hacer clic en un enlace o interactuar con un archivo malicioso para descargar y ejecutar las cargas útiles adicionales. Por eso, desde las organizaciones se debe educar a los usuarios acerca de estas amenazas y animarles a informar sobre correos electrónicos y otras actividades sospechosas que puedan suponer un riesgo”.
