Una campaña de ciberdelincuencia en español desata el troyano Bandook
Los ciberdelincuentes del grupo TA2721 distribuyen el malware a través de mensajes de correo que se dirigen a trabajadores con apellidos como Pérez, Castillo y Ortiz.
Las vulnerabilidades y los ejemplares de malware, por mucho que acumulen años de antigüedad, pueden causar grandes estragos en los sistemas informáticos de usuarios y empresas.
Un claro ejemplo es el troyano de acceso remoto Bandook. Desde 2015 había intervenido en muy pocas ocasiones. La compañía de Proofpoint ha registrado unas 40 campañas que distribuyen dicho malware en los últimos seis años. El caso es que, de ellas, más de la mitad se ha perpetrado en este 2021 y todas ellas llegan a cargo del grupo de ciberdelincuentes TA2721.
TA2721 está enviando mensajes fraudulentos a través del correo electrónico a empleados de multinacionales, y también entre empresas de menor tamaño, que tienen su sede en Europa y América. Estos mensajes están escritos en español y se dirigen a los sectores de actividad más variados, desde la fabricación y la automoción a la agricultura y la alimentación pasando por medios de comunicación, banca y seguros.
En las campañas analizadas por Proofpoint, los atacantes intentan engañar a personas con apellidos como Pérez, Castillo u Ortiz a través de asuntos relacionados con pagos (con los términos “presupuesto”, “cotización” o “recibo”). Los emails se envían tanto desde direcciones de Gmail como de Hotmail, de donde deriva el apodo que los investigadores han puesto a estos delincuentes: “bandidos calientes”, en referencia al “hot” del antiguo servicio de correo de Microsoft.
Los mensajes incitan a abrir un archivo de PDF que contiene una URL y una contraseña incrustadas. Al hacer clic, el usuario termina dirigido a un archivo RAR cifrado que instala el software malicioso.
De momento se trata de campañas de bajo volumen, que no alcanzan los 300 mensajes, y con capacidad para impactar en menos de un centenar de organizaciones al mismo tiempo.