Sicurezza Informatica

TA866 usa WasabiSeed e Screenshotter per attacchi phishing mirati

da Redazione
scritto da Redazione 0 commenti 2 minuti leggi

TA866, noto attore di minacce, è riemerso dopo una pausa di nove mesi con una massiccia campagna di phishing. L’obiettivo è distribuire malware conosciuti come WasabiSeed e Screenshotter, mirando a utenti in Nord America attraverso email a tema fatture.

Dettagli della Campagna di Phishing

image 131
TA866 usa WasabiSeed e Screenshotter per attacchi phishing mirati 8

La campagna, osservata all’inizio di questo mese e bloccata da Proofpoint il 17 gennaio 2024, ha coinvolto l’invio di migliaia di email con temi di fatturazione contenenti file PDF ingannevoli. Questi PDF contenevano URL di OneDrive che, una volta cliccati, avviavano una catena di infezione multi-step che portava al payload del malware, una variante dell’arsenale di strumenti personalizzati WasabiSeed e Screenshotter.

Annunci

Caratteristiche dei Malware

  • WasabiSeed: Un dropper di script Visual Basic usato per scaricare Screenshotter.
  • Screenshotter: Capace di catturare screenshot del desktop della vittima a intervalli regolari e di esfiltrare questi dati a un dominio controllato dall’attaccante.

TA866 è stato associato a campagne precedenti, come Screentime, che distribuiva WasabiSeed, e a gruppi di crimeware attivi sin dal 2020, noti anche per operazioni di cyber spionaggio.

Nuove tattiche di Attacco

La catena di attacco più recente rimane sostanzialmente invariata, sebbene si sia passati da allegati Publisher abilitati per macro a PDF con link OneDrive ingannevoli. La campagna si affida a un servizio di spam fornito da TA571 per distribuire i PDF trappola.

Altri malware associati a questi attacchi

Include AsyncRAT, NetSupport RAT, IcedID, PikaBot, QakBot (aka Qbot) e DarkGate. DarkGate, in particolare, consente agli attaccanti di eseguire vari comandi come furto di informazioni, mining di criptovalute ed esecuzione di programmi arbitrari.

Allerta nel Settore

La notizia della rinascita di TA866 arriva mentre Cofense rivela che le email di phishing a tema spedizioni colpiscono principalmente il settore manifatturiero per propagare malware come Agent Tesla e Formbook. Inoltre, è stata scoperta una nuova tattica di evasione che sfrutta il meccanismo di caching dei prodotti di sicurezza per aggirarli.

image 132
TA866 usa WasabiSeed e Screenshotter per attacchi phishing mirati 9

Potreste Essere Interessati

Si può anche come

StealC evolve con la versione 2

FBI chiede informazioni su Salt Typhoon e aiuto

Russia, Corea del Sud, Francia e Olanda sotto...

Ondata di exploit attivi colpisce infrastrutture, CMS, VPN...

Microsoft aggiorna la propria infrastruttura cloud, AI e...

DragonForce e Co-op: offensive ransomware e arresti eccellenti

Logo Matrice Digitale, sicurezza, informatica, mondo digitale, confronto smartphones

Matrice Digitale è un media INDIPENDENTE sul mondo della tecnologia. Specializzato in Guerra Cibernetica, Cybersecurity e Cybercrime, Matrice Digitale realizza inchieste ed analisi OSINT esclusive.  

Leggi la trasparenza

Iscriviti alla Newsletter

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope

Developed with love by Giuseppe Ferrara