Un nuovo attore minaccioso, identificato come TA886, sta prendendo di mira organizzazioni negli Stati Uniti e in Germania con un nuovo malware personalizzato per eseguire sorveglianza e furto di dati sui sistemi infetti. Il cluster di attività sconosciuto è stato scoperto per la prima volta da Proofpoint nel ottobre 2022, con la società di sicurezza che ha riferito che ha continuato nel 2023. L’attore minaccioso sembra avere motivazioni finanziarie, eseguendo una valutazione preliminare dei sistemi violati per determinare se il bersaglio è abbastanza prezioso per ulteriori intrusioni.
L’attore minaccioso prende di mira le vittime utilizzando e-mail di phishing che includono allegati Microsoft Publisher (.pub) con macro dannose, URL che collegano a file .pub con macro o PDF che contengono URL che scaricano file JavaScript pericolosi. Proofpoint dice che il numero di email inviate da TA886 è aumentato esponenzialmente a dicembre 2022 e ha continuato a crescere in gennaio 2023, con le email scritte in inglese o tedesco, a seconda del bersaglio.
Se i destinatari di queste email cliccano sugli URL, viene attivata una catena di attacco a più passaggi, che porta al download e all’esecuzione di “Screenshotter”, uno degli strumenti di malware personalizzati di TA886. Questo strumento prende screenshot JPG dalla macchina della vittima e li invia al server dell’attore minaccioso per la revisione. Gli attaccanti esaminano manualmente questi screenshot e decidono se la vittima è di valore. Questa valutazione potrebbe includere la richiesta di ulteriori screenshot dal malware Screenshotter o il caricamento di ulteriori payload personalizzati come uno script di profilazione di dominio che invia i dettagli del dominio AD (Active Directory) al C2 e uno script di caricamento di malware (AHK Bot loader) che carica un info-stealer in memoria.
Il stealer caricato in memoria si chiama “Rhadamanthys”, una famiglia di malware promossa in forum sotterranei dall’estate scorsa e sempre più utilizzata in attacchi. Le sue capacità includono il furto di portafogli di criptovalute, credenziali e cookie memorizzati nei browser web, client FTP, account Steam, account Telegram e Discord, configurazioni VPN e client di posta elettronica. Inoltre, Rhadamanthys è anche in grado di rubare file dal sistema violato.
