Uważaj na atak złośliwego spamu, który rozprzestrzenia złodzieja informacji IcedID
Badacze bezpieczeństwa wykryli nową kampanię złośliwego oprogramowania na wolności na początku 2021 roku. Nowa kampania przeprowadzona przez złych aktorów, która za nią stoi, wykorzystuje fałszywy e-mail łańcuchowy, aby ukryć dużą kampanię spamową opartą na phishingu.
Aby uwiarygodnić swoje wysiłki, aktorzy stojący za tym nowym atakiem używają prawdziwych, autentycznych wiadomości e-mail pobranych ze skrzynek odbiorczych ofiar, które zostały już zhakowane i przejęte. Naukowcy są przekonani, że organizacją stojącą za tą nową kampanią jest grupa o nazwie TA551, czasami nazywana Shathak - aktor groźny działający w nieokreślonej lokalizacji.
Złośliwe oprogramowanie w fałszywej, ale wiarygodnej wiadomości spamowej
Kampania spamowa rozprzestrzeniająca szkodliwe oprogramowanie wykorzystuje wiadomości e-mail z załącznikami w postaci plików Microsoft Word. Konfiguracja jest przewidywalna - złośliwe załączniki plików programu Word proszą użytkownika o zezwolenie na makra, a po przyznaniu uprawnień do wykonywania makr rozpoczyna się łańcuch infekcji. Złośliwe makra pobierają kradzieży informacji IcedID i instalują go w systemie ofiary.
Aby złośliwe wiadomości e-mail były jak najbardziej przekonujące, złoczyńcy wykorzystują wiadomości e-mail od wcześniej zainfekowanych klientów i dołączają dokument Worda do archiwum chronionego hasłem. Nazwa archiwum pochodzi od organizacji lub firmy, której adres e-mail jest podszywany, i zawiera krótką dodatkową instrukcję użycia dostarczonego hasła do otwarcia archiwum.
W przeszłości TA551 były skierowane głównie do anglojęzycznych grup demograficznych, ale ich ataki rozszerzyły się na kraje i populacje mówiące również po włosku, niemiecku i japońsku. Wektor infekcji również się zmienił.
Podczas gdy poprzednio TA551 wykorzystywał złośliwe oprogramowanie Valak jako narzędzie do pobierania IcedID, przeniosło się na używanie złośliwych makr w plikach Microsoft Office, tak jak w przypadku ostatniej kampanii.
Naukowcy oczekują, że TA551 będzie stale ulepszać swoje metody i opracowywać nowe sposoby rozpowszechniania kradzieży informacji i poczynić dalsze postępy w ciągłych wysiłkach, aby uniknąć wykrycia.