Aldebaran phishing bank fraud scam cybercrime b36d6df3 1e5d 4ef4 bbb7 315ffbd6659d
Sicurezza Informatica Guerra Cibernetica Malware Phishing / / Di

TA866 usa WasabiSeed e Screenshotter per attacchi phishing mirati

TA866, noto attore di minacce, è riemerso dopo una pausa di nove mesi con una massiccia campagna di phishing. L’obiettivo è distribuire malware conosciuti come WasabiSeed e Screenshotter, mirando a utenti in Nord America attraverso email a tema fatture.

Dettagli della Campagna di Phishing

Annuncio
image 131
TA866 usa WasabiSeed e Screenshotter per attacchi phishing mirati 6

La campagna, osservata all’inizio di questo mese e bloccata da Proofpoint il 17 gennaio 2024, ha coinvolto l’invio di migliaia di email con temi di fatturazione contenenti file PDF ingannevoli. Questi PDF contenevano URL di OneDrive che, una volta cliccati, avviavano una catena di infezione multi-step che portava al payload del malware, una variante dell’arsenale di strumenti personalizzati WasabiSeed e Screenshotter.

Caratteristiche dei Malware

  • WasabiSeed: Un dropper di script Visual Basic usato per scaricare Screenshotter.
  • Screenshotter: Capace di catturare screenshot del desktop della vittima a intervalli regolari e di esfiltrare questi dati a un dominio controllato dall’attaccante.

TA866 è stato associato a campagne precedenti, come Screentime, che distribuiva WasabiSeed, e a gruppi di crimeware attivi sin dal 2020, noti anche per operazioni di cyber spionaggio.

Nuove tattiche di Attacco

La catena di attacco più recente rimane sostanzialmente invariata, sebbene si sia passati da allegati Publisher abilitati per macro a PDF con link OneDrive ingannevoli. La campagna si affida a un servizio di spam fornito da TA571 per distribuire i PDF trappola.

🔴 OSSERVATORIO INTELLIGENCE: LIVE

Annuncio

Atlante Cyber

Altri malware associati a questi attacchi

Include AsyncRAT, NetSupport RAT, IcedID, PikaBot, QakBot (aka Qbot) e DarkGate. DarkGate, in particolare, consente agli attaccanti di eseguire vari comandi come furto di informazioni, mining di criptovalute ed esecuzione di programmi arbitrari.

Allerta nel Settore

La notizia della rinascita di TA866 arriva mentre Cofense rivela che le email di phishing a tema spedizioni colpiscono principalmente il settore manifatturiero per propagare malware come Agent Tesla e Formbook. Inoltre, è stata scoperta una nuova tattica di evasione che sfrutta il meccanismo di caching dei prodotti di sicurezza per aggirarli.

image 132
TA866 usa WasabiSeed e Screenshotter per attacchi phishing mirati 7

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Leggi anche

Torna in alto