Nueva campaña del grupo TA505 busca diseminar el descargador Get2 en conjunto al RAT SDBbot.
- Publicado: 19/10/2019
- Importancia: Baja
- Recursos afectados
TA505, es un grupo de amenazas destacado por las diferentes campañas de malspam que ha protagonizado hacia los usuarios del sector financiero, gubernamental y educativo. Durante los últimos meses de junio, julio y agosto se evidenciaron múltiples actividades relacionadas con malware procedente de este grupo de amenazas.
Durante esta nueva campaña TA505 ha utilizado su nuevo descargador Get2 el cual se encuentra escrito en C++. Este troyano de tipo descargador tiene funciones de recopilación de información, donde por peticiones HTTP POST una vez es ejecutado en el equipo de la víctima envía los siguientes datos al servidor C&C (comando y control):
- Nombre del equipo.
- Nombre de usuario.
- Versión del sistema operativo Windows.
- Lista de procesos Pipe-delimite.
Este es un breve resumen realizado por el equipo del CSIRT, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, sea miembro del CSIRT Financiero y contáctenos a través del correo [email protected].
- Etiquetas