Se descubrió que una nueva campaña de phishing dirigida a Brasil entregaba un malware bancario llamado Astaroth (también conocido como Guildma) mediante el uso de JavaScript ofuscado para burlar las barreras de seguridad.
“El impacto de la campaña de phishing se ha dirigido a varias industrias, siendo las empresas manufactureras, las empresas minoristas y las agencias gubernamentales las más afectadas”, dijo Trend Micro en un nuevo análisis.
“Los correos electrónicos maliciosos a menudo se hacen pasar por documentos fiscales oficiales, utilizando la urgencia de las declaraciones de impuestos sobre la renta personal para engañar a los usuarios para que descarguen el malware”.
La empresa de ciberseguridad está rastreando el grupo de actividades de amenazas bajo el nombre de Water Makara. Vale la pena señalar que el Grupo de Análisis de Amenazas (TAG) de Google ha asignado el apodo de PINEAPPLE a un conjunto de intrusión similar que entrega el mismo malware a los usuarios brasileños.
Ambas campañas comparten un punto en común: comienzan con mensajes de phishing que se hacen pasar por entidades oficiales como la Receita Federal y tienen como objetivo engañar a los destinatarios para que descarguen un archivo adjunto ZIP que se hace pasar por documentos de impuestos sobre la renta.
Dentro del archivo ZIP dañino hay un acceso directo de Windows (LNK) que abusa de mshta.exe, una utilidad legítima destinada a ejecutar archivos de aplicaciones HTML, ejecutar comandos JavaScript ofuscados y establecer conexiones a un servidor de comando y control (C2).
“Si bien Astaroth puede parecer un viejo troyano bancario, su resurgimiento y evolución continua lo convierten en una amenaza persistente”, dijeron los investigadores.
“Más allá de los datos robados, su impacto se extiende al daño a largo plazo a la confianza del consumidor, multas regulatorias y mayores costos por la interrupción del negocio y el tiempo de inactividad, así como la recuperación y remediación”.
Para mitigar el riesgo que representan tales ataques, se recomienda aplicar políticas de contraseñas seguras, utilizar autenticación multifactor (MFA), mantener actualizado el software y las soluciones de seguridad y aplicar el principio de privilegio mínimo (PoLP).