當心傳播IcedID信息竊取程序的惡意垃圾郵件攻擊

安全研究人員於2021年初在野外發現了一個新的惡意軟件活動,由其背後的不良行為者進行的新推動使用偽造的鍊式電子郵件掩蓋了一個大型網絡釣魚電子郵件垃圾郵件活動。

為了使他們的努力有信譽,此新攻擊的幕後行動者使用了真實,真實的電子郵件,這些電子郵件從已經被黑並受到攻擊的受害者的信箱中竊取。研究人員認為,這項新活動的組織是名為TA551的組織,有時也稱為Shathak-威脅者,行動地點不明。

偽造但可信的垃圾郵件中的惡意軟件

傳播惡意軟件的垃圾郵件活動使用帶有Microsoft Word文件形式的附件的電子郵件。該設置是可預測的-惡意Word文件附件會要求用戶允許宏,如果授予了宏執行權限,則會啟動感染鏈。惡意宏會下載IcedID信息竊取程序並將其安裝在受害者的系統上。

為了使惡意電子郵件盡可能令人信服,不良行為者會使用來自先前受到攻擊的客戶端的電子郵件,並將Word文檔附加在受密碼保護的存檔中。該檔案文件以其電子郵件被欺騙的組織或公司命名,並有簡短的附加說明,以使用提供的密碼來打開檔案文件。

過去,TA551主要針對講英語的人口統計信息,但他們的攻擊範圍已擴大到講意大利語,德語和日語的國家和人群。感染媒介也發生了變化。

儘管以前TA551使用Valak惡意軟件作為IcedID的下載器,但他們已轉而使用Microsoft Office文件中的惡意宏,就像最近的這次活動一樣。

研究人員期望TA551不斷改進其方法,並提出新的方法來傳播信息竊取者,並在不斷進行的避免檢測工作中取得進一步的進步。

January 11, 2021

發表評論