当心传播IcedID信息窃取程序的恶意垃圾邮件攻击

安全研究人员于2021年初在野外发现了一个新的恶意软件活动。由其背后的不良行为者进行的新推动使用伪造的链式电子邮件掩盖了一个大型网络钓鱼电子邮件垃圾邮件活动。

为了使他们的努力可信,这种新攻击的幕后行动者使用了真实的,真实的电子邮件,这些电子邮件从已经被黑并受到攻击的受害者的信箱中提取。研究人员认为,这项新活动的组织是名为TA551的组织,有时也称为Shathak-威胁者,行动地点不明。

伪造但可信的垃圾邮件中的恶意软件

传播恶意软件的垃圾邮件活动使用带有Microsoft Word文件形式的附件的电子邮件。该设置是可预测的-恶意Word文件附件会要求用户允许宏,如果授予了宏执行权限,则会启动感染链。恶意宏会下载IcedID信息窃取程序并将其安装在受害者的系统上。

为了使恶意电子邮件尽可能令人信服,不良行为者会使用来自先前受到攻击的客户端的电子邮件,并将Word文档附加在受密码保护的存档中。该档案文件以其电子邮件被欺骗的组织或公司命名,并有简短的附加说明,以使用提供的密码来打开档案文件。

过去,TA551主要针对讲英语的人口统计信息,但他们的攻击范围已扩大到讲意大利语,德语和日语的国家和人群。感染媒介也发生了变化。

尽管TA551以前使用Valak恶意软件作为IcedID的下载器,但他们已经转向使用Microsoft Office文件中的恶意宏,就像最近的这次活动一样。

研究人员期望TA551不断改进其方法,并提出新的方法来传播信息窃取者,并在不断进行的避免检测工作中取得进一步的进步。

January 11, 2021

发表评论