Desde principios de 2024, los especialistas de la compañía F.A.C.C.T., desarrollador ruso de tecnologías de ciberseguridad, han detectado más de mil envíos de phishing con malware, cuyas víctimas fueron empresas, instituciones gubernamentales y bancos en Rusia y Bielorrusia. Los analistas del departamento de Threat Intelligence identificaron estos ataques como actividad del grupo ТА558.
ТА558 es un grupo de ciberdelincuentes que opera desde 2018. Los principales objetivos del grupo incluyen instituciones financieras, organizaciones gubernamentales y empresas turísticas. El grupo de hackers utiliza ataques de phishing de varias etapas y métodos de ingeniería social para introducir malware alojado en servidores legítimos.
Los ataques recientes de ТА558 se caracterizan por el uso de esteganografía para ocultar información en archivos e imágenes, así como archivos maliciosos con nombres como «Love» y «Kiss». Principalmente se utilizan programas tipo Agent Tesla y Remcos, pertenecientes a la clase Remote Administration Tools (RAT). Estos permiten a los atacantes capturar video de cámaras web, controlar el portapapeles y el ratón, recopilar información sobre el sistema y robar datos del usuario.
Es notable que los hackers continúan explotando una vulnerabilidad de 2017 en Microsoft Office (CVE-2017-11882), a pesar de su eliminación en las versiones actualizadas del producto.
El sistema F.A.C.C.T. Managed XDR bloqueó con éxito todos los correos electrónicos maliciosos dirigidos a los clientes.