Observatorio de Amenazas

Venom RAT y la Nueva Ola de Ataques en LATAM

Escrito por Javiera González | 04-04-24
El actor de amenazas conocido como TA558 ha lanzado una nueva campaña masiva de phishing dirigida a diversos sectores en América Latina. El objetivo principal de esta campaña es desplegar el malware Venom RAT. Además, se ha observado un aumento en los ataques de malvertising por parte del grupo rastreado como ScamClub, que ahora se enfoca en asaltos de malvertising de vídeo mediante el uso de etiquetas de plantillas de presentación de anuncios de vídeo (VAST).

Actores de amenaza y ataque 

TA558, un actor de amenazas, ha estado activo desde al menos 2018 y ha dirigido sus ataques a entidades en la región LATAM. Los sectores afectados incluyen hoteles, viajes, comercio, finanzas, manufactura, industria y gobierno. El historial de objetivos de TA558 abarca una variedad de malware, como Loda RAT, Vjw0rm y Revenge RAT.

Además, el grupo de malvertising ScamClub ha cambiado su enfoque hacia asaltos de malvertising de vídeo, utilizando etiquetas de plantillas de presentación de anuncios de vídeo (VAST) para redirigir a usuarios desprevenidos a páginas fraudulentas después de pasar ciertas técnicas de huellas dactilares del lado del cliente y del lado del servidor.

¿Cómo funciona el ataque?

El ataque tiene una modalidad similar a otros ataques de este estilo:

  1. Phishing Inicial: El ataque comienza con correos electrónicos de phishing enviados a las víctimas. Estos correos electrónicos contienen enlaces o archivos adjuntos maliciosos.

  2. Infección: Si la víctima cae en la trampa y hace clic en el enlace o abre el archivo adjunto, se produce la infección. En este caso, se utiliza Venom RAT, un tipo de malware.

  3. Venom RAT: Este malware permite a los atacantes recopilar datos confidenciales de la víctima y controlar sus sistemas de forma remota. Puede robar información sensible y ejecutar comandos en el equipo comprometido.

  4. Objetivos y Distribución: El actor de amenazas TA558 ha dirigido sus ataques a una variedad de sectores en América Latina, incluyendo hoteles, viajes, comercio, finanzas, manufactura, industria y gobierno. Utiliza correos electrónicos de phishing como vector de acceso inicial para distribuir el malware.

  5. Aumento del Malvertising: Además, se ha observado un aumento en el uso de malvertising (publicidad maliciosa) para entregar otros tipos de malware a través de anuncios de vídeo.

Países y sectores más afectados

La nueva campaña ha impactado a diversos países, incluyendo España, México, Estados Unidos, Colombia, Portugal, Brasil, República Dominicana y Argentina. Los sectores más afectados son: hotelero, agencias de viajes, comercial, financiero, manufacturero, industrial y gubernamental.

Recomendaciones

  • Educación y Concienciación: Capacita a tus empleados y usuarios para que sean conscientes de las tácticas de phishing y los riesgos asociados.
  • Filtrado de Correo Electrónico: Implementa soluciones de filtrado de correo electrónico para detectar y bloquear correos electrónicos maliciosos antes de que lleguen a los buzones de entrada.
  • Actualizaciones y Parches: Mantén tus sistemas operativos, aplicaciones y software actualizados con los últimos parches de seguridad.
  • Control de Acceso y Privilegios: Limita los privilegios de acceso de los usuarios según sus roles y responsabilidades.
  • Seguridad en la Navegación Web: Utiliza soluciones de seguridad web que bloqueen el acceso a sitios web maliciosos o fraudulentos.
  • Monitoreo y Detección: Implementa herramientas de monitoreo de red y sistemas para detectar actividades sospechosas o anómalas.
  • Respuesta Rápida: Siempre ten un plan de respuesta ante incidentes en su lugar. Si se detecta una infección, aísla rápidamente los sistemas afectados y toma medidas para eliminar el malware.

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. 

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

  • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
  • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
  • Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.

¡Conoce nuestras soluciones aquí y cuida la ciberseguridad de tu organización!

Fuentes

https://thehackernews.com/2024/04/massive-phishing-campaign-strikes-latin.html

https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1898/

https://enhacke.com/blog/campana-masiva-de-phishing-en-america-latina-660c3424b8ef2

https://blog.tecnetone.com/venom-rat-desata-ola-de-phishing-en-américa-latina