Múltiples campañas con los troyanos RAT Agent Tesla y Remcos explotan el conflicto ucraniano

Los estafadores suplantan al gobierno ucraniano, la agencia humanitaria internacional Act for Peace, UNICEF y otros proyectos de donación como el Ukraine Crisis Relief Fund.

Bitdefender Labs acaba de publicar una nueva investigación  sobre las últimas oleadas de correos electrónicos fraudulentos y maliciosos que explotan el conflicto militar en Ucrania. Múltiples campañas de malspam están instalando los troyanos de acceso remoto Agent Tesla y Remcos en los ordenadores de los usuarios.

Las estafas criptográficas de caridad y del estilo del timo “Príncipe nigeriano” se están intensificando. Los estafadores se hacen pasar por el gobierno ucraniano, la agencia humanitaria internacional Act for Peace, UNICEF y otras organizaciones, como el Fondo de Alivio de Crisis de Ucrania, para solicitar ayuda financiera.

Hallazgos clave sobre la campaña del RAT Agent Tesla:

  • Los ataques se originan aparentemente en direcciones IP de los Países Bajos (86%) y Hungría (3%).
  • En cuanto a la distribución, los receptores se encuentran en Corea del Sur (23%), Alemania (10%), el Reino Unido (10%), los Estados Unidos (8%), la República Checa (14%), Irlanda (5%), Hungría (3%), Suecia (3%) y Australia (2%).
  • Agent Tesla es un conocido ladrón de datos RAT de malware como servicio (MaaS) capaz de filtrar información confidencial, incluidas credenciales, pulsaciones de teclado y datos del portapapeles de sus objetivos.

Hallazgos clave sobre la campaña de Remcos:

  • Los correos electrónicos maliciosos se originan en direcciones IP de Alemania y de Estados Unidos.
  • El destino de los mismos es Irlanda (32%), India (17%), Estados Unidos (7%), el Reino Unido (4%), Alemania (4%), Vietnam (4%), Rusia (2%), Sudáfrica (2%) y Australia (2%).
  • El troyano de acceso remoto Remcos permite a los atacantes capturar pulsaciones de teclado, capturas de pantalla, credenciales u otra información confidencial del sistema y exfiltrarla directamente a sus servidores.

El 25 de febrero, el Laboratorio Antispam de Bitdefender informó de los primeros indicios de estafadores que aprovechan la invasión rusa de Ucrania y las noticias de ciudadanos ucranianos que huyen del país. Como era de esperar, los estafadores siguen aprovechando la actual crisis humanitaria para sus propios beneficios económicos.

Pocas horas después de la invasión, el gobierno ucraniano anunció que aceptaba donaciones de criptodivisas BTC y ETH, y la comunidad mundial no se mostró decepcionada. Según el último análisis de las transacciones de blockchain, el monedero de ETH recibió más de 18.524 transacciones por un total de más de 9,7 millones de dólares, mientras que el monedero de BTC muestra más de 9.300 transacciones con un valor de 9,4 millones de dólares.

No hay duda; los individuos, las organizaciones y los gobiernos están eligiendo un bando, y los ciberdelincuentes tienen que intensificar sus esfuerzos para redirigir cualquier ayuda financiera a sus bolsillos.

“Se sabe que los grandes eventos y crisis mundiales desencadenan campañas de spam malicioso que explotan las emociones humanas y el deseo de ayudar de la gente”, dijo Adrian Miron, Director de Investigación Antispam de Bitdefender.

“Hasta ahora, hemos observado que los atacantes reaccionaron muy rápidamente a los anuncios legítimos de Ucrania y otras organizaciones imitando el formato de sus mensajes. Esperamos que la variedad de campañas de phishing y malware, así como el volumen de mensajes enviados diariamente, aumenten constantemente, y que los atacantes adapten sus métodos de persuasión en consecuencia.”

Bitdefender Labs está vigilando activamente los correos electrónicos fraudulentos de donación que atraen a los destinatarios a donar dinero. Los estafadores se hacen pasar por el gobierno ucraniano, la agencia humanitaria internacional Act for Peace, UNICEF y otros proyectos de donación como el Ukraine Crisis Relief Fund para hacer llegar sus peticiones de ayuda financiera para ayudar al ejército ucraniano y a millones de civiles y niños atrapados en el conflicto militar.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022