Microsoft: Este tipo de amenazas utiliza archivos ISO e IMG con malware para infectar a las empresas con un troyano de acceso remoto..
Microsoft dice que sus modelos avanzados de detección de amenazas de aprendizaje automático han ayudado a su personal a detectar múltiples campañas de spam malicioso (malspam) que distribuyen archivos de imagen de disco infectados con malware.
La campaña, detectada la semana pasada, está utilizando señuelos COVID-19 (líneas de asunto de correo electrónico) para engañar a los usuarios para que descarguen y ejecuten archivos adjuntos ISO o IMG.
En una serie de tweets de hoy, Microsoft dijo que estos archivos están infectados con una versión del troyano de acceso remoto (RAT) Remcos, que brinda a los atacantes un control total sobre los hosts infectados.
Microsoft dice que los atacantes han sido persistentes y han lanzado múltiples ejecuciones de spam diferentes, dirigidas a empresas de diferentes industrias, en varios países de todo el mundo. Los más importantes incluyen ejecuciones de spam como:
- Una campaña de Remcos que persigue a las pequeñas empresas estadounidenses que buscan obtener préstamos por desastre. En este caso, las empresas recibieron correos electrónicos que pretendían ser de la Administración de Pequeños Negocios de EE. UU. (SBA), con un archivo adjunto IMG (imagen de disco) malicioso. El archivo IMG contenía un archivo ejecutable que usa un icono PDF engañoso. Cuando se ejecuta, el archivo ejecutable instala Remcos RAT.
- Una campaña dirigida a empresas manufactureras en Corea del Sur. Los atacantes enviaron a las organizaciones objetivo un correo electrónico que se hace pasar por la Red de Alerta de Salud (HAN) de los CDC que transportaba archivos adjuntos de archivos ISO maliciosos. El archivo ISO contenía un archivo SCR malicioso, que instaló Remcos.
- Otra campaña de Remcos se dirigió a contadores en los EE. UU., Con correos electrónicos que pretendían contener «actualizaciones relacionadas con COVID-19» para miembros del Instituto Americano de Contadores Públicos. El archivo adjunto era un archivo ZIP que contenía la combinación ISO + SCR vista en la campaña de Corea del Sur.
El objetivo final de esta operación es actualmente desconocido; sin embargo, los actores de la amenaza podrían estar buscando empresas para detectar futuros ataques, como ransomware, estafas BEC o espionaje industrial.