Остерегайтесь атаки вредоносного спама, которая распространяет кражу информации IcedID
В начале 2021 года исследователи безопасности заметили новую вредоносную кампанию в дикой природе. В новой атаке, проводимой злоумышленниками, стоящими за ней, используется поддельная цепная электронная почта, чтобы замаскировать крупную фишинговую рассылку спама.
Чтобы придать убедительность своим усилиям, участники этой новой атаки используют настоящие, подлинные сообщения электронной почты, взятые из почтовых ящиков жертв, которые уже были взломаны и скомпрометированы. Исследователи полагают, что организацией, стоящей за этой новой кампанией, является группа под названием TA551, которую иногда называют Shathak - злоумышленник, действующий из неопределенного местоположения.
Вредоносное ПО в поддельной, но достоверной спам-почте
Кампания по распространению вредоносного спама использует электронные письма с вложениями в виде файлов Microsoft Word. Настройка предсказуема - вредоносные вложения файлов Word просят пользователя разрешить макросы, и, если предоставлены разрешения на выполнение макросов, запускается цепочка заражения. Вредоносные макросы загружают инфостилер IcedID и устанавливают его в системе жертвы.
Чтобы сделать вредоносные электронные письма как можно более убедительными, злоумышленники используют электронные письма от ранее скомпрометированных клиентов и прикрепляют документ Word в архив, защищенный паролем. Архив назван в честь организации или компании, чья электронная почта подделывается, и есть краткая дополнительная инструкция по использованию предоставленного пароля для открытия архива.
В прошлом TA551 в первую очередь предназначалась для англоязычной аудитории, но их атаки распространились на страны и население, говорящее на итальянском, немецком и японском языках. Изменился и вектор заражения.
Хотя раньше TA551 использовал вредоносную программу Valak в качестве загрузчика для IcedID, теперь они перешли на использование вредоносных макросов в файлах Microsoft Office, как это было в последней кампании.
Исследователи ожидают, что TA551 продолжит совершенствовать свои методы и найдет новые способы распространения инфостилера, а также предпримет дальнейшие шаги по предотвращению обнаружения.