El FBI detecta el spear-phishing que se hace pasar por Truist Bank para distribuir malware

Los actores de la amenaza se hicieron pasar por Truist, el sexto holding bancario más grande de EE. UU., En una campaña de spear phishing que intentó infectar a los destinatarios con lo que parece ser un malware de acceso remoto (RAT).

También adaptaron la campaña de phishing "para engañar a la institución financiera a través de dominios registrados, asuntos de correo electrónico y una aplicación, todo aparentemente relacionado con la institución", dijo el FBI en un TLP: BLANCO. notificación al sector privado.

El PIN se emitió en coordinación con DHS-CISA y está diseñado para proporcionar a los profesionales de seguridad y administradores de red los indicadores de compromiso que necesitan para detectar y bloquear tales ataques.

Varias instituciones financieras suplantadas

En uno de los ataques dirigidos a una empresa de energía renovable en febrero de 2021, los correos electrónicos de phishing indicaron al objetivo que descargara una aplicación maliciosa de Windows que imitaba la aplicación Truist Financial SecureBank legítima y supuestamente necesaria para completar el proceso detrás de un préstamo de $ 62 millones.

"El monto del préstamo fraudulento estaba en línea con el modelo comercial de la víctima", agregó el FBI. "El correo electrónico de phishing también contenía un enlace para descargar la aplicación y un nombre de usuario y contraseña para iniciar sesión".

"El correo electrónico de phishing parecía provenir de una institución financiera con sede en el Reino Unido, indicando que el préstamo de la institución financiera estadounidense a la víctima había sido confirmado y se podía acceder a él a través de una aplicación que parecía representar a la institución financiera estadounidense".

Los actores de la amenaza alojaron la aplicación de Windows falsa en un dominio fraudulento registrado por los actores de la amenaza antes del ataque y se hicieron pasar por Truist.

Otras instituciones financieras de EE. UU. Y el Reino Unido (por ejemplo, MayBank, FNB America y Cumberland Private) también parecen haber sido suplantadas en esta campaña de spear phishing.

Malware con capacidades de robo de información

Para aumentar la tasa de éxito de sus ataques, los atacantes utilizaron malware no detectado actualmente por los motores antimalware. VirusTotal.

Malware distribuido después de que los destinatarios descarguen e instalen ejecutables maliciosos en correos electrónicos de spear phishing que se conectan al archivo Secureportal (.) en línea dominio.

Como se detalla más en la página VirusTotal para la muestra de malware compartido del FBI, los atacantes pueden usar el malware para registrar las pulsaciones de teclas y tomar capturas de pantalla de las capturas de pantalla de las víctimas.

Según VirusTotal, la lista de características de malware incluye:

• Privilegios incrementados
• Comunicaciones en la red UDP
• Manipulación del registro
• Tomando capturas de pantalla
• Escuchar la comunicación entrante
• Ejecuta un registrador de teclas
• Comunicación vía DNS
• Descargador de archivos / cuentagotas
• Comunicaciones por HTTP
• Inyectando código con CreateRemoteThread en un proceso remoto

El mes pasado, la agencia de empleo líder en el mundo, Michael Page, fue suplantada en una campaña de phishing similar en un intento de infectar a los destinatarios con el malware Ursnif que roba datos que pueden recopilar credenciales y datos confidenciales de computadoras infectadas.

Con la información recopilada de los sistemas infectados, los atacantes pueden robar las credenciales de inicio de sesión de sus víctimas y otros datos confidenciales para comprometer aún más sus cuentas o redes.

Las aplicaciones falsas utilizadas como cebo mientras se realizan actividades maliciosas en segundo plano son una táctica conocida utilizada en el pasado por los ciberdelincuentes y los actores de amenazas respaldados por el estado, como Lazarus Group. [1, 2].