Mediante correos electrónicos de phishing con archivos adjuntos maliciosos, que simulan ser ofertas comerciales, se instala software legítimo de administración remota, en los sistemas de las víctimas.
El malware utilizado en estos ataques instala software legítimo de administración remota – TeamViewer o Remote Manipulator System/Remote Utilities (RMS). El actor de la amenaza, utiliza varias técnicas para enmascarar la infección y la actividad del malware instalado en el sistema.
Investigadores de Kaspersky Lab indicaron que “el objetivo principal de los atacantes es robar dinero de las cuentas de las organizaciones de víctimas. Cuando los atacantes se conectan al equipo de una víctima, buscan y analizan los documentos de compra, así como el software financiero y de contabilidad utilizado. Después de eso, los atacantes buscan varias formas de cometer fraude financiero, como la falsificación de los datos bancarios utilizados para hacer los pagos”.
Los expertos observaron una avalancha de este tipo de correos electrónicos, a partir de noviembre de 2017. La campaña aún en curso, se ha dirigido a hasta 400 empresas industriales, ubicadas en Rusia. Los correos electrónicos de phishing están bien diseñados, y algunos pretenden ser invitaciones a licitar de grandes empresas industriales.
Con información de: Threat Post y Secure List.
