Entre octubre de 2022 y enero de 2023, los investigadores de Proofpoint han rastreado a TA866, como han denominado a estos ciberdelincuentes organizados, capaces de llevar a cabo ataques bien pensados y a escala para hacerse con herramientas y servicios de otros proveedores. Aseguran desde la compañía que TA866 tiene motivaciones financieras y se caracteriza, entre otros, por analizar la actividad de sus víctimas mediante capturas de pantalla antes de instalar un bot o stealer maliciosos.
Explican desde la compañía que la cadena de ataque empieza por un correo electrónico con un archivo adjunto o URL que conduce a los malwares WasabiSeed y Screenshotter, así como a los programas maliciosos Rhadamanthys Stealer y AHK Bot. Estos emails parecen utilizar la técnica de thread hijacking, o secuestro de hilos de conversación, previamente existentes con señuelos en los que se incita a los destinatarios a abrir una presentación adjunta. Además, la actividad de TA866 se inicia también a partir de Google Ads.
Sus campañas maliciosas se han dirigido principalmente a un grupo reducido de organizaciones de distintos sectores en Estados Unidos, aunque se han observado incursiones en Europa, concretamente a destinatarios alemanes, de manera esporádica. El pasado octubre, TA866 distribuyó un número limitado de correos; entre noviembre y diciembre, la escala de la operación creció y el volumen de mensajes subió drásticamente; y, a comienzos de este año, la frecuencia de la campañas se redujo, pero la cantidad de emails siguió en aumento.
Los ciberdelincuentes detrás de TA866 se dedican a examinar manualmente las capturas de pantalla que recogen de la actividad de sus víctimas durante su horario de trabajo para identificar objetivos de valor y determinar si debe proseguirse con el ataque. Las investigaciones de Proofpoint indican que se han encontrado comentarios escritos en ruso dentro del código del AHK Bot desplegado en estas campañas, lo cual podría indicar que el desarrollador de esta herramienta es nativo o que el código se ha copiado de otras fuentes sin eliminar estas frases.
Desde Proofpoint destacan que «es importante tener en cuenta que para que un ataque sea exitoso, el usuario tiene que hacer clic en un enlace o interactuar con un archivo maliciosos para descargar y ejecutar las cargas útiles adicionales. Por eso, desde las organizaciones se debe educar a los usuarios acerca de estas amenazas y animarles a informar sobre correos electrónicos y otras actividades sospechosas que puedan suponer un riesgo”.
