TA505 (nombre asignado por Proofpoint) ha estado en el negocio del Cibercrimen durante al menos 6 años. Este es el grupo detrás del infame troyano bancario Dridex y Locky ransomware. También están asociados al RAT tRAT y los ransomware Philadelphia y GlobeImposter. Recientemente han introducido otra familia de malware como son FlawedGrace, FlawedAmmy y ServHelper.
El grupo TA505 inicio una nueva campaña masiva de Phishing, pero en esta oportunidad, distribuyendo inicialmente el RAT (Remote Administration Tool) FlawedAmmy. Digo inicialmente porque luego de instalar este RAT, los atacantes tienen la capacidad de instalar cualquier otro tipo de amenaza en el equipo infectado.
Todo inicia con la llegada de un correo malicioso con el siguiente template:
Cuando el usuario abre el documento Excel, se inicia automáticamente la instalación de FlawedAmmy, quien a su vez descarga otros dos componentes:
- Email Stealer: se encarga de recopilar todos los correos electrónicos almacenados en el equipo, ya sea en el disco o en cualquier cliente de correo que el usuario tenga instalado, principalmente Microsoft Outlook. El propósito de esto es construir bases de datos con emails “frescos” para seguir distribuyendo la amenaza.
- Botnet Bancaria “Amadey”: permite a los autores realizar múltiples tareas maliciosas, como por ejemplo descargar y ejecutar malware adicional, recibir comandos desde un servidor de control, exfiltrar información sensible, actualizarse o borrarse, robar inicios de sesión, registrar teclas pulsadas (Keylogger), generar ataques de Denegación de Servicio Distribuido (DDoS), robo de accesos y claves de transferencias bancarias e incluso instalación masiva de Ransomware.
Por otra parte, logramos acceso al servidor web donde se exfiltran los correos recopilados por el Email Stealer, donde en unas pocas horas de campaña detectamos dos archivos:
- Archivo1: 509.540 emails recopilados (desde el disco)
- Archivo2: 1.590.035 emails recopilados (desde clientes de correo)