Остерегайтесь атаки вредоносного спама, которая распространяет кражу информации IcedID

В начале 2021 года исследователи безопасности заметили новую вредоносную кампанию в дикой природе. В новой атаке, проводимой злоумышленниками, стоящими за ней, используется поддельная цепная электронная почта, чтобы замаскировать крупную фишинговую рассылку спама.

Чтобы придать убедительность своим усилиям, участники этой новой атаки используют настоящие, подлинные сообщения электронной почты, взятые из почтовых ящиков жертв, которые уже были взломаны и скомпрометированы. Исследователи полагают, что организацией, стоящей за этой новой кампанией, является группа под названием TA551, которую иногда называют Shathak - злоумышленник, действующий из неопределенного местоположения.

Вредоносное ПО в поддельной, но достоверной спам-почте

Кампания по распространению вредоносного спама использует электронные письма с вложениями в виде файлов Microsoft Word. Настройка предсказуема - вредоносные вложения файлов Word просят пользователя разрешить макросы, и, если предоставлены разрешения на выполнение макросов, запускается цепочка заражения. Вредоносные макросы загружают инфостилер IcedID и устанавливают его в системе жертвы.

Чтобы сделать вредоносные электронные письма как можно более убедительными, злоумышленники используют электронные письма от ранее скомпрометированных клиентов и прикрепляют документ Word в архив, защищенный паролем. Архив назван в честь организации или компании, чья электронная почта подделывается, и есть краткая дополнительная инструкция по использованию предоставленного пароля для открытия архива.

В прошлом TA551 в первую очередь предназначалась для англоязычной аудитории, но их атаки распространились на страны и население, говорящее на итальянском, немецком и японском языках. Изменился и вектор заражения.

Хотя раньше TA551 использовал вредоносную программу Valak в качестве загрузчика для IcedID, теперь они перешли на использование вредоносных макросов в файлах Microsoft Office, как это было в последней кампании.

Исследователи ожидают, что TA551 продолжит совершенствовать свои методы и найдет новые способы распространения инфостилера, а также предпримет дальнейшие шаги по предотвращению обнаружения.

January 11, 2021
Loading ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.