Los expertos de la compañía Proofpoint encontraron que el grupo truco de habla rusa TA505 pasado a utilizar la nueva cargadora, AndroMut.
yot se cree que esta agrupación existía al menos desde 2014 y está asociado con este tipo de campañas maliciosas a gran escala como la distribución de Drirex y Shifu banqueros, criptógrafo Locky, así como las extorsionistas Filadelfia y GlobeImposter, ServHelper y puertas traseras FlawedAmmyy.Ahora expertos notaron que en junio 2019, hackers empezaron a utilizar el nuevo cargador de arranque AndroMut escrito en C ++ para distribuir RAT FlawedAmmyy.
“Proofpoint investigación descubrió AndroMut descargar malware que se conoce como “FlawedAmmyy.” FlawedAmmyy es una rata con todas las funciones que se observó por primera vez a principios de 2016 y se basa en el código fuente filtrada de una herramienta shareware legítima, Ammyy”, - dijeron los investigadores.
Al mismo tiempo, los investigadores descubrieron que el nuevo cargador se asemeja más o menos la famosa familia de malware de Andrómeda, En cual 2017 formó una de las mayores redes de bots en el mundo.
Proofpoint analistas sugieren que TA505 Miembros podrán recurrir filtrado códigos fuente Andromeda, o uno de los creadores de la botnet colabora con la agrupación.
Aplicación de AndroMut se registró en dos campañas diferentes: el primero tocó usuarios de Corea del Sur, el segundo está dirigido a instituciones financieras en Singapur, los Emiratos Árabes Unidos y los Estados Unidos. AndroMut se utiliza como la primera etapa del ataque: los atacantes propagan mensajes de correo electrónico con archivos adjuntos maliciosos de pesca HTM y HTML. Aquellos, en turno, conducir a archivos de Word o Excel que contienen macros maliciosas. Después de abrir un archivo de tales, AndroMut y luego penetrar FlawedAmmyy máquina de la víctima.
Los investigadores señalan que AndroMut utiliza varios métodos de protección contra el análisis. Asi que, los controles de malware si se encuentra en la caja de arena, examina los nombres de los procesos, presta atención a los movimientos del cursor del ratón, busca el emulador de vino y depuradores, y también borra la memoria después de utilizar los datos importantes.
“En los últimos dos años, Proofpoint investigadores observaron TA505 y un número de otros jugadores se centraron en descargadores, RAT, ladrones de información, y troyanos bancarios. Con esta nueva junio 2019 empujar, verticales de banca comercial en los Estados Unidos, EAU, y Singapur parecen ser los objetivos primarios como parte de “seguir el dinero” patrón de comportamiento habitual de TA505. El nuevo descargador AndroMut, cuando se combina con la FlawedAmmy rata como su carga útil parece ser la nueva mascota de TA505 para el verano de 2019”, - Informe especialistas Proofpoint.
Adicionalmente, expertos de Trend Micro publicó un informe sobre las últimas campañas TA505 esta semana. Los investigadores no sólo prestó atención a la nueva cargadora de agrupación (Trend Micro analistas le dieron el nombre Gelup), sino que también se describe otra nueva herramienta en el arsenal de los hackers, FlowerPippi Malware.
leer también: La nueva versión del banquero Dridex deslizamiento de los antivirus
FlowerPippi también tiene capacidades de carga y la puerta trasera, Asi que, que puede ser utilizado para ofrecer otros programas maliciosos a una máquina infectada. De acuerdo con Trend Micro, esta puerta trasera también se utiliza para recoger y robar información, y para ejecutar comandos arbitrarios que recibe desde el servidor de administración. Todos los detalles técnicos sobre FlowerPippi se pueden encontrar en un informe de expertos independientes.
