Home Ciberguerra Ataques de spam malicioso en Turquía

Ataques de spam malicioso en Turquía

Tras realizar un seguimiento de las actividades de los actores de las amenazas, sospechosos de estar implicados en un gran número de ataques de spam malicioso, contra organizaciones de Turquía, los investigadores de Sophos determinaron que los atacantes volaban bajo el radar, utilizando inyecciones de fórmula de Excel para entregar la carga útil.

“El actor de la amenaza se dirige predominantemente a las víctimas con base en Turquía utilizando mensajes de correo electrónico maliciosos escritos en idioma turco. La comprensión de la gramática turca por parte del autor del spam, entre otros indicadores, da credibilidad a la hipótesis de que tanto el origen como los objetivos de esta campaña están en Turquía”, escribió Gabor Szappanos de Sophos en una entrada del blog, el 12 de julio.

Los investigadores sospechan que el método de ataque podría extenderse pronto más allá de las fronteras del Türkiye Cumhuriyeti. “Las ideas exitosas finalmente se infiltran en todo el ecosistema del crimeware, y aunque esta no sea la herramienta más efectiva para los criminales, todavía pueden usarla como cualquier otra herramienta de la caja de herramientas”.

Aunque el ataque en sí no era muy sofisticado, utilizó un medio novedoso de entregar malware a través de simples mensajes de correo electrónico enviados con archivos adjuntos de Excel que llevan a cabo el ataque, otro ejemplo más de las muchas formas en que los atacantes están desarrollando sus métodos para pasar desapercibidos.

Varias muestras de correos electrónicos de phishing revelaron que los atacantes seguían la misma estructura para crear los señuelos. “Un análisis posterior reveló que los correos electrónicos fueron generados por un constructor que seleccionó al azar de los componentes de oraciones predefinidas, lo que explica las similitudes”, escribió Szappanos.

A medida que los mensajes de correo electrónico evolucionaron, se volvieron más crípticos, lo que los investigadores sospechan que se debió al intento del actor de la amenaza de que el mensaje pareciera menos mecánico.

Durante el análisis, los investigadores encontraron programas de Windows en servidores adicionales que albergaban el malware de la carga útil.

“Estos archivos no fueron descargados por los archivos de Excel, pero deben haber sido colocados en los servidores por el actor de la amenaza. No vemos ninguna razón para almacenarlos en los servidores. Los ejecutables en cuestión resultaron ser programas creadores que generan tanto los archivos adjuntos maliciosos como el mensaje malicioso aleatorio. Estas herramientas también tienen la funcionalidad de correo SMTP para enviar el malspam con el archivo adjunto”.