BlackTech ha estado atacando activamente, y es que se observaron algunos casos de ataque contra empresas japonesas utilizando un nuevo malware llamado Flagpro. Esta amenaza comienza con un correo electrónico de spear phishing. El mensaje se ajusta a su organización de destino y se disfraza como una comunicación por correo electrónico con el socio comercial del objetivo, esto significa que los atacantes sondearon más profundamente en su objetivo antes de atacar.
Los atacantes adjuntan un archivo protegido con contraseña (ZIP o RAR) al correo electrónico y escriben su contraseña en el mensaje pero no te confundas, este archivo incluye un archivo de formato xlsm y contiene una macro maliciosa.
Si el usuario llegara a ejecutar la macro, este creara un archivo EXE en el directorio de inicio. Este archivo EXE es “Flagpro”. En la mayoría de los casos, estos archivos EXE creados se denominan “dwm.exe”. Cuando el sistema se inicie la próxima vez, se ejecutará Flagpro, que se colocó en el directorio de inicio como “dwm.exe”.
Los investigadores observaron el uso de diálogos escritos en inglés y chino, lo que indica que, además de apuntar a Japón y Taiwán, también podría apuntar a países de habla inglesa si que en un futuro podría verse en otros lados.