El grupo de amenaza TA558 ha sido identificado por Positive Technologies, una empresa rusa de ciberseguridad, usando la esteganografía para entregar varios tipos de malware, incluyendo Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger y XWorm. La campaña, conocida como SteganoAmor, se basa en la esteganografía y utiliza nombres de archivo como greatloverstory.vbs y easytolove.vbs. Principalmente afectando al sector industrial, de servicios, público, eléctrico y de la construcción en América Latina, también se han atacado empresas en Rusia, Rumanía y Turquía. TA558 emplea el troyano Venom RAT a través de ataques de phishing dirigidos a empresas en España, México, Estados Unidos, Colombia, Portugal, Brasil, República Dominicana y Argentina.
Los ataques comienzan con un correo electrónico de phishing que contiene un archivo adjunto de Microsoft Excel que aprovecha una falla de seguridad en Equation Editor (CVE-2017-11882) para descargar un Visual Basic Script que, a su vez, recupera la carga útil de la siguiente etapa de paste[.]ee. Además de Agent Tesla, otras variantes de esta cadena de ataque han llevado a una serie de malware, como FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger y XWorm, diseñados para acceso remoto, robo de datos y entrega de cargas útiles secundarias.
[b459fc92d9624d0b84ed397a540cecc0]
Los correos electrónicos de phishing se envían desde servidores SMTP legítimos pero comprometidos para ofrecer credibilidad a los mensajes y evitar ser bloqueados por los gateways de correo electrónico. TA558 también utiliza servidores FTP infectados para almacenar los datos robados. Positive Technologies está siguiendo esta actividad bajo el nombre de Lazy Koala, relacionándolo con el usuario joekoala, quien se cree que controla los bots de Telegram que reciben los datos robados.
Los hallazgos de TA558 se producen en medio de una serie de ataques de phishing que buscan propagar familias de malware, como FatalRAT y SolarMarker.
Vía The Hacker News
