ClickCease Ataque de phishing TA547: Empresas alemanas atacadas con infostealer

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Ataque de phishing TA547: Empresas alemanas atacadas con infostealer

Wajahat Raja

22 de abril de 2024 - Equipo de expertos TuxCare

Investigadores de Proofpoint han descubierto que el ataque de phishing TA547 campañas se han dirigido a diferentes empresas alemanas. Identificado como TA547, el actor de la amenaza ha estado utilizando un ladrón de información llamado Rhadamanthys para hacerse con importantes datos financieros de las empresas. Esta información es utilizada posteriormente por varios ciberdelincuentes.

La campaña de phishing campaña de phishing TA547 utilizaba un script PowerShell que se sospecha que ha sido generado por grandes modelos de lenguaje (LLM) como Gemini, ChatGPT y CoPilot. El actor de la amenaza cibernética TA547 es un actor motivado financieramente que se cree que ha estado activo desde noviembre de 2017.

 

En este artículo, aprenderemos todo sobre el ataque de phishing de la organización alemana y veremos por qué es tan importante.

 

TA547 Historial de ataques de phishing con IA


La amenaza de ciberseguridad TA547
tiene mala fama por realizar campañas de phishing. El actor de amenazas saltó a la palestra traficando con Trickbot, pero también ha utilizado otras herramientas de ciberdelincuencia, como Lumma stealer, StealC, NetSupport RAT y Gozi.

La principal diferencia entre las anteriores TA547 tácticas de phishing y la última es que ahora ha empezado a utilizar la ayuda de la IA para las campañas de phishing. El código generado por LLM sugiere que se utilizó un chatbot de IA para escribirlo.

 

¿Cómo funcionó el ciberespionaje TA547?


Los breves correos electrónicos de suplantación de identidad fueron el primer paso del
ataque de phishing TA547. Uno de los disfraces utilizados fue Metro AG, la empresa alemana de venta al por menor. En los correos electrónicos había archivos ZIP protegidos por contraseña que contenían archivos LNK comprimidos. Estos archivos LNK activaban el script Powershell cuando se ejecutaban, dejando caer el infostealer Rhadamanthys en los sistemas de las organizaciones alemanas.

Se identificó un hecho extraño en el script Powershell; a saber, contenía un hashtag, que eran comentarios específicos. Esto hizo concluir a los investigadores que la nueva tácticas de phishing TA547 incluían también el uso de IA.

 

¿Por qué es importante el ciberataque a organizaciones alemanas?


La campaña de ciberespionaje TA547 es un indicio de que
actores de amenazas a la ciberseguridad están evolucionando con el tiempo y utilizando técnicas más novedosas de phishing y otras campañas para lograr sus objetivos.

El uso de los LNK comprimidos y el código generado por LLM son algunos de estos ejemplos. Los LLM como ChatGPT ayudan a los actores de amenazas de ciberseguridad como TA547 a reutilizar las técnicas utilizadas por otros actores de amenazas para su propio beneficio.

 

¿Hay algún malware de IA peor que el que está por llegar?


El sitio
ataque de phishing TA547 muestra la experimentación que se ha estado llevando a cabo con el uso de la inteligencia artificial. En la actualidad, los actores de amenazas a la ciberseguridad utilizan la IA para lograr sus objetivos de forma rápida y más eficaz. Aunque hay indicios de que algunos actores de amenazas utilizan la IA a niveles más reducidos con el fin de mejorar sus operaciones, todavía no se ha descubierto un uso a gran escala, aparte de un par de casos.

Esto se debe a que los humanos siguen siendo mejores escribiendo códigos que los programas de IA, y los desarrolladores de IA también están tomando medidas para evitar el uso indebido de sus productos por parte de los actores de amenazas de ciberseguridad como TA547.


Conclusión


En los últimos años han aumentado las campañas con motivación económica. El ataque de phishing
ataque de phishing TA547 subraya la importancia de aplicar medidas proactivas de ciberseguridad para que incidentes como el incidente de ciberseguridad alemán como el alemán.

Las fuentes de este artículo incluyen artículos en proofpoint y Lectura Oscura.

 

Resumen
Ataque de phishing TA547: Empresas alemanas atacadas con infostealer
Nombre del artículo
Ataque de phishing TA547: Empresas alemanas atacadas con infostealer
Descripción
Organizaciones alemanas han sido blanco de un actor de amenazas financieras con un infostealer. Descubre todo sobre el ataque de phishing TA547 aquí.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín