Cuidado com o ataque de Malspam que espalha o ladrão de informações IcedID
Os pesquisadores de segurança descobriram uma nova campanha de malware à solta no início de 2021. O novo ataque conduzido pelos malfeitores por trás dele usa uma cadeia de e-mail falsa para disfarçar uma grande campanha de spam de e-mail de phishing.
Para dar credibilidade aos seus esforços, os atores por trás desse novo ataque usam mensagens de e-mail reais e genuínas, retiradas das caixas de entrada das vítimas que já foram hackeadas e comprometidas. Os pesquisadores acreditam que a organização por trás desta nova campanha é o grupo denominado TA551, às vezes referido como Shathak - um ator de ameaça operando em um local indeterminado.
Malware dentro de e-mail de spam falso, mas confiável
A campanha de spam de propagação de malware usa e-mails que contêm anexos na forma de arquivos do Microsoft Word. A configuração é previsível - os anexos de arquivo do Word maliciosos pedem ao usuário para permitir macros e se as permissões de execução de macro forem concedidas, a cadeia de infecção é iniciada. As macros maliciosas baixam o infostealer IcedID e o instalam no sistema da vítima.
Para tornar os e-mails maliciosos o mais convincentes possível, os malfeitores usam e-mails de clientes comprometidos anteriormente e anexam o documento do Word em um arquivo protegido por senha. O arquivo tem o nome da organização ou empresa cujo e-mail está sendo falsificado e há uma breve instrução adicional para usar a senha fornecida para abrir o arquivo.
No passado, o TA551 tinha como alvo principal a demografia de língua inglesa, mas seus ataques se expandiram para países e populações que falam italiano, alemão e japonês também. O vetor de infecção também mudou.
Embora anteriormente o TA551 usasse o malware Valak como downloader para o IcedID, eles passaram a usar macros maliciosas em arquivos do Microsoft Office, como é o caso desta campanha mais recente.
Os pesquisadores esperam que o TA551 continue aprimorando seus métodos e desenvolva novas maneiras de disseminar o infostealer e faça mais avanços em seus esforços contínuos para evitar a detecção.
