TA866, noto attore di minacce, è riemerso dopo una pausa di nove mesi con una massiccia campagna di phishing. L’obiettivo è distribuire malware conosciuti come WasabiSeed e Screenshotter, mirando a utenti in Nord America attraverso email a tema fatture.
Dettagli della Campagna di Phishing
La campagna, osservata all’inizio di questo mese e bloccata da Proofpoint il 17 gennaio 2024, ha coinvolto l’invio di migliaia di email con temi di fatturazione contenenti file PDF ingannevoli. Questi PDF contenevano URL di OneDrive che, una volta cliccati, avviavano una catena di infezione multi-step che portava al payload del malware, una variante dell’arsenale di strumenti personalizzati WasabiSeed e Screenshotter.
Caratteristiche dei Malware
- WasabiSeed: Un dropper di script Visual Basic usato per scaricare Screenshotter.
- Screenshotter: Capace di catturare screenshot del desktop della vittima a intervalli regolari e di esfiltrare questi dati a un dominio controllato dall’attaccante.
TA866 è stato associato a campagne precedenti, come Screentime, che distribuiva WasabiSeed, e a gruppi di crimeware attivi sin dal 2020, noti anche per operazioni di cyber spionaggio.
Nuove tattiche di Attacco
La catena di attacco più recente rimane sostanzialmente invariata, sebbene si sia passati da allegati Publisher abilitati per macro a PDF con link OneDrive ingannevoli. La campagna si affida a un servizio di spam fornito da TA571 per distribuire i PDF trappola.
Altri malware associati a questi attacchi
Include AsyncRAT, NetSupport RAT, IcedID, PikaBot, QakBot (aka Qbot) e DarkGate. DarkGate, in particolare, consente agli attaccanti di eseguire vari comandi come furto di informazioni, mining di criptovalute ed esecuzione di programmi arbitrari.
Allerta nel Settore
La notizia della rinascita di TA866 arriva mentre Cofense rivela che le email di phishing a tema spedizioni colpiscono principalmente il settore manifatturiero per propagare malware come Agent Tesla e Formbook. Inoltre, è stata scoperta una nuova tattica di evasione che sfrutta il meccanismo di caching dei prodotti di sicurezza per aggirarli.
