Se opp for Malspam Attack som sprer IcedID Info Stealer
Sikkerhetsforskere oppdaget en ny malware-kampanje i naturen tidlig i 2021. Den nye pressen utført av de dårlige skuespillerne bak den, bruker en falsk kjede-e-post for å skjule en stor nettsøppelpostkampanje.
For å gi troverdighet til innsatsen, bruker skuespillerne bak dette nye angrepet ekte, ekte e-postmeldinger, løftet fra innboksen til ofre som allerede hadde blitt hacket og kompromittert. Forskere mener organisasjonen bak denne nye kampanjen er gruppen som heter TA551, noen ganger referert til som Shathak - en trusselsaktør som opererer på et ubestemt sted.
Skadelig programvare i falsk, men troverdig spam-post
Den spam-forplantende spam-kampanjen bruker e-post som har vedlegg i form av Microsoft Word-filer. Oppsettet er forutsigbart - de ondsinnede Word-filvedleggene ber brukeren om å tillate makroer, og hvis tillatelse til makroutførelse gis, startes infeksjonskjeden. De ondsinnede makroene laster ned IcedID-infostealeren og installerer den på offerets system.
For å gjøre de ondsinnede e-postene så overbevisende som mulig, bruker de dårlige skuespillerne e-post fra tidligere kompromitterte klienter og legger ved Word-dokumentet i et passordbeskyttet arkiv. Arkivet er oppkalt etter organisasjonen eller selskapet hvis e-post blir spoofed, og det er en kort tilleggsinstruksjon for å bruke det medfølgende passordet for å åpne arkivet.
Tidligere har TA551 primært rettet mot engelsktalende demografi, men angrepene deres har utvidet seg til å være målrettet mot land og befolkninger som snakker italiensk, tysk og japansk også. Infeksjonsvektoren har også endret seg.
Mens tidligere TA551 brukte Valak-skadelig programvare som nedlastingsprogram for IcedID, har de gått over til å bruke ondsinnede makroer i Microsoft Office-filer, slik tilfellet er med denne siste kampanjen.
Forskere forventer at TA551 fortsetter å forbedre metodene sine og komme med nye måter å spre infostealeren og gjøre ytterligere fremskritt i deres pågående arbeid for å unngå oppdagelse.