Προσέξτε για την επίθεση Malspam που διαδίδει το IcedID Info Stealer
Οι ερευνητές ασφαλείας εντόπισαν μια νέα καμπάνια κακόβουλου λογισμικού στις αρχές του 2021. Η νέα ώθηση που έκαναν οι κακοί ηθοποιοί πίσω από αυτό χρησιμοποιεί ένα ψεύτικο email αλυσίδας για να συγκαλύψει μια μεγάλη καμπάνια ανεπιθύμητης αλληλογραφίας ηλεκτρονικού ψαρέματος (phishing).
Για να προσδώσουν αξιοπιστία στις προσπάθειές τους, οι ηθοποιοί πίσω από αυτήν τη νέα επίθεση χρησιμοποιούν πραγματικά, γνήσια μηνύματα ηλεκτρονικού ταχυδρομείου, που έχουν αποσυρθεί από τα εισερχόμενα των θυμάτων που είχαν ήδη πειραματιστεί και παραβιαστεί. Οι ερευνητές πιστεύουν ότι η οργάνωση πίσω από αυτήν τη νέα καμπάνια είναι η ομάδα που ονομάζεται TA551, που μερικές φορές αναφέρεται ως Shathak - ένας ηθοποιός απειλής που λειτουργεί από μια απροσδιόριστη τοποθεσία.
Κακόβουλο λογισμικό με ψεύτικο αλλά αξιόπιστο ανεπιθύμητο μήνυμα
Η καμπάνια ανεπιθύμητης αλληλογραφίας που χρησιμοποιεί κακόβουλο λογισμικό χρησιμοποιεί μηνύματα ηλεκτρονικού ταχυδρομείου που έχουν συνημμένα με τη μορφή αρχείων του Microsoft Word. Η εγκατάσταση είναι προβλέψιμη - τα κακόβουλα συνημμένα αρχεία Word ζητούν από το χρήστη να επιτρέψει μακροεντολές και εάν εκχωρηθούν δικαιώματα εκτέλεσης μακροεντολών, ξεκινά η αλυσίδα μόλυνσης. Οι κακόβουλες μακροεντολές κατεβάζουν το IostID infostealer και το εγκαθιστούν στο σύστημα του θύματος.
Για να κάνουν τα κακόβουλα e-mail όσο το δυνατόν πιο πειστικά, οι κακοί ηθοποιοί χρησιμοποιούν e-mail από πελάτες που είχαν προηγουμένως παραβιαστεί και επισυνάψουν το έγγραφο του Word σε ένα αρχείο με κωδικό πρόσβασης. Το αρχείο έχει το όνομά του από τον οργανισμό ή την εταιρεία του οποίου τα ηλεκτρονικά μηνύματα πλαστογραφούνται και υπάρχει μια σύντομη πρόσθετη οδηγία για τη χρήση του παρεχόμενου κωδικού πρόσβασης για το άνοιγμα του αρχείου.
Στο παρελθόν, το TA551 έχει στοχεύσει κατά κύριο λόγο τα αγγλόφωνα δημογραφικά στοιχεία, αλλά οι επιθέσεις τους έχουν επεκταθεί σε χώρες και πληθυσμούς που μιλούν επίσης ιταλικά, γερμανικά και ιαπωνικά. Ο φορέας μόλυνσης έχει αλλάξει επίσης.
Ενώ στο παρελθόν το TA551 χρησιμοποίησε το κακόβουλο λογισμικό Valak ως πρόγραμμα λήψης του IcedID, έχουν μετακινηθεί στη χρήση κακόβουλων μακροεντολών σε αρχεία του Microsoft Office, όπως συμβαίνει με αυτήν την πιο πρόσφατη καμπάνια.
Οι ερευνητές αναμένουν ότι το TA551 θα συνεχίσει να βελτιώνει τις μεθόδους του και θα βρει νέους τρόπους για να διαδώσει το infostealer και να κάνει περαιτέρω προόδους στη συνεχή προσπάθειά τους να αποφύγουν τον εντοπισμό.