Vigyázz a rosszindulatú támadásra, amely elterjeszti az IcedID információ-lopót

A biztonságkutatók 2021 elején egy új rosszindulatú programot észleltek a vadonban. A mögöttük lévő rossz szereplők által végrehajtott új lökés hamis lánc e-mailt használ egy nagy adathalász e-mail spam kampány leplezéséhez.

Annak érdekében, hogy hitelességet nyújtsanak erőfeszítéseiknek, az új támadás mögött álló szereplők valódi, eredeti e-mail üzeneteket használnak, amelyeket a már feltört és kompromittált áldozatok postafiókjából kiemeltek. A kutatók úgy vélik, hogy az új kampány mögött álló szervezet a TA551 nevű csoport, amelyet néha Shathak néven emlegetnek - egy fenyegetés szereplője meghatározatlan helyen működik.

Rosszindulatú programok hamis, de hihető spam levelekben

A rosszindulatú programokat terjesztő spam kampány olyan e-maileket használ, amelyek csatolt fájlokkal rendelkeznek Microsoft Word fájlok formájában. A beállítás kiszámítható - a rosszindulatú Word fájlmellékletek arra kérik a felhasználót, hogy engedélyezze a makrókat, és ha megadják a makró végrehajtási engedélyeit, elindul a fertőzési lánc. A rosszindulatú makrók letöltik az IcedID infostealert, és telepítik az áldozat rendszerére.

Annak érdekében, hogy a rosszindulatú e-mailek a lehető legmeggyőzőbbek legyenek, a rossz szereplők korábban veszélyeztetett ügyfelektől származó e-maileket használnak, és a Word dokumentumot jelszóval védett archívumba csatolják. Az archívum annak a szervezetnek vagy cégnek a nevét viseli, amelynek az e-mailt csalják, és további rövid utasítások vannak a mellékelt jelszó használatára az archívum megnyitásához.

A múltban a TA551 elsősorban az angolul beszélő demográfiai csoportokat célozta meg, de támadásaik kiterjedtek az olaszul, németül és japánul is beszélő országokra és lakosságra. A fertőzés vektor is megváltozott.

Míg korábban a TA551 a Valak rosszindulatú programot használta az IcedID letöltőjeként, átálltak a rosszindulatú makrók használatára a Microsoft Office fájlokban, ahogy ez a legutóbbi kampány esetében is történik.

A kutatók elvárják, hogy a TA551 folyamatosan javítsa módszereit, és új módszereket találjon ki az infostealer elterjesztésére, és további előrelépéseket tesznek a felderítés elkerülése érdekében tett folyamatos erőfeszítéseik során.