Attenzione per l'attacco Malspam che diffonde il ladro di informazioni IcedID
I ricercatori di sicurezza hanno individuato una nuova campagna di malware in natura all'inizio del 2021. La nuova spinta condotta dai malintenzionati dietro di essa utilizza un'e-mail a catena falsa per mascherare una grande campagna di spam e-mail di phishing.
Per dare credibilità ai loro sforzi, gli attori dietro questo nuovo attacco utilizzano messaggi di posta elettronica reali e autentici, prelevati dalle caselle di posta delle vittime che erano già state violate e compromesse. I ricercatori ritengono che l'organizzazione dietro questa nuova campagna sia il gruppo chiamato TA551, a volte indicato come Shathak, un attore di minacce che opera da una posizione indeterminata.
Malware all'interno di messaggi spam falsi ma credibili
La campagna di spam di propagazione del malware utilizza e-mail con allegati sotto forma di file di Microsoft Word. La configurazione è prevedibile: i file allegati di Word dannosi chiedono all'utente di consentire le macro e se vengono concesse le autorizzazioni di esecuzione delle macro, viene avviata la catena di infezione. Le macro dannose scaricano l'Infostealer IcedID e lo installano sul sistema della vittima.
Per rendere i messaggi di posta elettronica dannosi il più convincenti possibile, i malintenzionati utilizzano i messaggi di posta elettronica di client precedentemente compromessi e allegano il documento di Word in un archivio protetto da password. L'archivio prende il nome dall'organizzazione o dalla società la cui e-mail è stata falsificata e sono disponibili brevi istruzioni aggiuntive per utilizzare la password fornita per aprire l'archivio.
In passato, TA551 ha preso di mira principalmente i dati demografici di lingua inglese, ma i loro attacchi si sono estesi a paesi e popolazioni che parlano anche italiano, tedesco e giapponese. Anche il vettore di infezione è cambiato.
Mentre in precedenza TA551 utilizzava il malware Valak come downloader per IcedID, è passato all'utilizzo di macro dannose nei file di Microsoft Office, come nel caso di questa campagna più recente.
I ricercatori si aspettano che TA551 continui a migliorare i propri metodi e che escogiti nuovi modi per diffondere l'infostealer e fare ulteriori progressi nel loro continuo sforzo per evitare il rilevamento.
