Correos electrónicos maliciosos utilizan AdvisorsBot para comprometer empresas atacadas

Investigadores han descubierto un nuevo programa de descarga, denominado AdvisorsBot, como parte de una campaña de ataque dirigida a empresas de telecomunicaciones y hotelería

AdvisorsBot es un programa de descarga recientemente descubierto por expertos en hacking ético que está siendo utilizado como parte de una campaña de phishingdiseñada específicamente para comprometer empresas de telecomunicaciones, restaurantes y hoteles. Según los investigadores, esta campaña podría estar vinculada al actor malicioso conocido como TA555, que utiliza este malware como carga útil de primera etapa.

Si bien AdvisorsBot es modular y contiene características de mando y control (C&C), los sólo se ha observado que el malware envía activamente datos de módulos de huellas dactilares, que utiliza para identificar víctimas potenciales, de regreso al C&C. En los últimos cuatro meses, especialistas en hacking ético han identificado tres variantes diferentes de AdvisorsBot en las campañas de ataque; la última versión incluía una versión de PowerShell del malware.

Correos maliciosos específicamente diseñados para atacar ciertas industrias

El secreto del éxito de esta campaña de malware es el uso de correos maliciosos diseñados para obtener pronta respuesta de las víctimas. Por ejemplo, los restaurantes reciben mensajes sobre intoxicaciones alimentarias con informes adjuntos de supuestos médicos, mientras que los hoteles reciben mensajes sobre dobles cargos por servicio con declaraciones de crédito adjuntas. Por su parte, las empresas de telecomunicaciones reciben solicitudes de empleo con CV adjuntos.

Si los usuarios interactúan con estos archivos y habilitan macros de Microsoft Word, AdvisorsBot descarga, registra detalles del sistema y envía estos datos al servidor de C&C. Esto resulta en un mayor rango de éxito de un ataque de phishing con correos electrónicos que hacen un esfuerzo adicional para parecer legítimos.

Otra preocupación en torno a AdvisorsBot es el continuo desarrollo que muestra. Como señalan especialistas en hacking ético, el malware está en desarrollo activo y también se pueden encontrar versiones del malware reescritas en PowerShell. En mayo y junio, por ejemplo, los documentos adjuntos a los correos maliciosos contenían scripts de PowerShell para descargar AdvisorsBot. El 8 de agosto, la macro se modificó para incluir un comando de PowerShell que descargó otra secuencia de comandos de PowerShell antes de descargar el malware.

Además, AdvisorsBot utiliza el código no deseado y la función hashing del API de Windows para evadir el análisis de seguridad. Esta evolución continua significa que contrarrestar con éxito una versión de AdvisorsBot no nos asegura estar a salvo de la siguiente versión del malware.

Prevención del ataque de AdvisorsBot

Especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética recomiendan a los equipos de seguridad de las compañías bloquear ciertas IPs asociadas con AdvisorsBot (en específico 162.244.32.148 y 185.180.198.56), además de URLs como investments-advisors.bid, interactive-investments.bid, y real-estate-advisors.win.

Los expertos también recomiendan adoptar un enfoque de seguridad de correo electrónico que incluya monitoreo y control de spam, escaneo de correo externo, protección perimetral y concientización para los usuarios finales de modo que se puedan identificar posibles amenazad de phishing que terminen con una infección de AdvisorsBot.