Achten Sie auf den Malspam-Angriff, der den IcedID Info Stealer verbreitet

Sicherheitsforscher entdeckten Anfang 2021 eine neue Malware-Kampagne in freier Wildbahn. Der neue Vorstoß der schlechten Schauspieler dahinter verwendet eine gefälschte Ketten-E-Mail, um eine große Phishing-E-Mail-Spam-Kampagne zu verschleiern.

Um ihren Bemühungen Glaubwürdigkeit zu verleihen, verwenden die Akteure hinter diesem neuen Angriff echte, echte E-Mail-Nachrichten, die aus den Posteingängen von Opfern stammen, die bereits gehackt und kompromittiert wurden. Forscher glauben, dass die Organisation hinter dieser neuen Kampagne die Gruppe TA551 ist, die manchmal als Shathak bezeichnet wird - ein Bedrohungsakteur, der von einem unbestimmten Ort aus operiert.

Malware in gefälschten, aber glaubwürdigen Spam-Mails

Die Spam-Kampagne zur Verbreitung von Malware verwendet E-Mails mit Anhängen in Form von Microsoft Word-Dateien. Das Setup ist vorhersehbar. Die böswilligen Word-Dateianhänge fordern den Benutzer auf, Makros zuzulassen. Wenn Berechtigungen für die Makroausführung erteilt werden, wird die Infektionskette gestartet. Die böswilligen Makros laden den IcedID-Infostealer herunter und installieren ihn auf dem System des Opfers.

Um die böswilligen E-Mails so überzeugend wie möglich zu gestalten, verwenden die schlechten Akteure E-Mails von zuvor gefährdeten Clients und hängen das Word-Dokument in einem passwortgeschützten Archiv an. Das Archiv ist nach der Organisation oder Firma benannt, deren E-Mail gefälscht wird, und es gibt eine kurze zusätzliche Anweisung, das angegebene Kennwort zum Öffnen des Archivs zu verwenden.

In der Vergangenheit zielte TA551 hauptsächlich auf englischsprachige Bevölkerungsgruppen ab, aber ihre Angriffe haben sich auch auf Länder und Bevölkerungsgruppen ausgeweitet, die Italienisch, Deutsch und Japanisch sprechen. Der Infektionsvektor hat sich ebenfalls geändert.

Während TA551 zuvor die Valak-Malware als Downloader für IcedID verwendet hat, wurden in Microsoft Office-Dateien schädliche Makros verwendet, wie dies bei dieser neuesten Kampagne der Fall ist.

Die Forscher erwarten, dass TA551 seine Methoden weiter verbessert und neue Wege findet, um den Infostealer zu verbreiten und ihre laufenden Bemühungen zur Vermeidung der Erkennung weiter voranzutreiben.

January 11, 2021

Antworten