Ataque de phishing TA547: Empresas alemanas atacadas con infostealer
Investigadores de Proofpoint han descubierto que el ataque de phishing TA547 campañas se han dirigido a diferentes empresas alemanas. Identificado como TA547, el actor de la amenaza ha estado utilizando un ladrón de información llamado Rhadamanthys para hacerse con importantes datos financieros de las empresas. Esta información es utilizada posteriormente por varios ciberdelincuentes.
La campaña de phishing campaña de phishing TA547 utilizaba un script PowerShell que se sospecha que ha sido generado por grandes modelos de lenguaje (LLM) como Gemini, ChatGPT y CoPilot. El actor de la amenaza cibernética TA547 es un actor motivado financieramente que se cree que ha estado activo desde noviembre de 2017.
En este artículo, aprenderemos todo sobre el ataque de phishing de la organización alemana y veremos por qué es tan importante.
TA547 Historial de ataques de phishing con IA
La amenaza de ciberseguridad TA547 tiene mala fama por realizar campañas de phishing. El actor de amenazas saltó a la palestra traficando con Trickbot, pero también ha utilizado otras herramientas de ciberdelincuencia, como Lumma stealer, StealC, NetSupport RAT y Gozi.
La principal diferencia entre las anteriores TA547 tácticas de phishing y la última es que ahora ha empezado a utilizar la ayuda de la IA para las campañas de phishing. El código generado por LLM sugiere que se utilizó un chatbot de IA para escribirlo.
¿Cómo funcionó el ciberespionaje TA547?
Los breves correos electrónicos de suplantación de identidad fueron el primer paso del ataque de phishing TA547. Uno de los disfraces utilizados fue Metro AG, la empresa alemana de venta al por menor. En los correos electrónicos había archivos ZIP protegidos por contraseña que contenían archivos LNK comprimidos. Estos archivos LNK activaban el script Powershell cuando se ejecutaban, dejando caer el infostealer Rhadamanthys en los sistemas de las organizaciones alemanas.
Se identificó un hecho extraño en el script Powershell; a saber, contenía un hashtag, que eran comentarios específicos. Esto hizo concluir a los investigadores que la nueva tácticas de phishing TA547 incluían también el uso de IA.
¿Por qué es importante el ciberataque a organizaciones alemanas?
La campaña de ciberespionaje TA547 es un indicio de que actores de amenazas a la ciberseguridad están evolucionando con el tiempo y utilizando técnicas más novedosas de phishing y otras campañas para lograr sus objetivos.
El uso de los LNK comprimidos y el código generado por LLM son algunos de estos ejemplos. Los LLM como ChatGPT ayudan a los actores de amenazas de ciberseguridad como TA547 a reutilizar las técnicas utilizadas por otros actores de amenazas para su propio beneficio.
¿Hay algún malware de IA peor que el que está por llegar?
El sitio ataque de phishing TA547 muestra la experimentación que se ha estado llevando a cabo con el uso de la inteligencia artificial. En la actualidad, los actores de amenazas a la ciberseguridad utilizan la IA para lograr sus objetivos de forma rápida y más eficaz. Aunque hay indicios de que algunos actores de amenazas utilizan la IA a niveles más reducidos con el fin de mejorar sus operaciones, todavía no se ha descubierto un uso a gran escala, aparte de un par de casos.
Esto se debe a que los humanos siguen siendo mejores escribiendo códigos que los programas de IA, y los desarrolladores de IA también están tomando medidas para evitar el uso indebido de sus productos por parte de los actores de amenazas de ciberseguridad como TA547.
Conclusión
En los últimos años han aumentado las campañas con motivación económica. El ataque de phishing ataque de phishing TA547 subraya la importancia de aplicar medidas proactivas de ciberseguridad para que incidentes como el incidente de ciberseguridad alemán como el alemán.
Las fuentes de este artículo incluyen artículos en proofpoint y Lectura Oscura.