Se upp för Malspam Attack som sprider IcedID Info Stealer

Säkerhetsforskare såg en ny kampanj mot skadlig programvara i naturen i början av 2021. Den nya pressen som genomförs av de dåliga aktörerna bakom den använder en falsk kedje-e-post för att dölja en stor skräppostkampanj via e-post.

För att ge sina ansträngningar trovärdighet använder skådespelarna bakom denna nya attack riktiga, äkta e-postmeddelanden, lyfta från inkorgen för offer som redan hade hackats och komprometterats. Forskare tror att organisationen bakom den här nya kampanjen är den grupp som heter TA551, ibland kallad Shathak - en hotaktör som verkar från en obestämd plats.

Skadlig programvara inom falsk men trovärdig skräppost

Kampanjen som sprider skadlig programvara använder e-postmeddelanden som har bilagor i form av Microsoft Word-filer. Installationen är förutsägbar - de skadliga Word-filbilagorna ber användaren att tillåta makron och om makrotillförseltillstånd beviljas startas infektionskedjan. De skadliga makron hämtar IcedID-infostealern och installerar den på offrets system.

För att göra de skadliga e-postmeddelandena så övertygande som möjligt använder de dåliga aktörerna e-postmeddelanden från tidigare komprometterade klienter och bifogar Word-dokumentet i ett lösenordsskyddat arkiv. Arkivet är uppkallat efter den organisation eller det företag vars e-post förfalskas och det finns en kort ytterligare instruktion om att använda det medföljande lösenordet för att öppna arkivet.

Tidigare har TA551 främst riktat sig mot engelskspråkig demografi, men deras attacker har utvidgats till att omfatta länder och befolkningar som talar italienska, tyska och japanska också. Infektionsvektorn har också förändrats.

Medan TA551 tidigare använde Valak-skadlig programvara som nedladdare för IcedID, har de gått över till att använda skadliga makron i Microsoft Office-filer, vilket är fallet med den senaste kampanjen.

Forskare förväntar sig att TA551 fortsätter att förbättra sina metoder och kommer med nya sätt att sprida infostealern och göra ytterligare framsteg i deras pågående ansträngningar för att undvika upptäckt.

January 11, 2021

Lämna ett svar