Согласно новому отчету исследователя кибербезопасности Proofpoint, который недавно наблюдал крупную фишинговую кампанию, нацеленную на людей в Северной Америке, после девятимесячного перерыва печально известный злоумышленник TA866 вернулся.
По его словам отчетПо данным Proofpoint, TA866 отправил «несколько тысяч электронных писем» с темами вроде «результаты проекта» и тому подобное.
Электронные письма содержали вложение в формате PDF с такими названиями, как «Документ_[10 digits].prf» и тому подобное. Эти документы содержали URL-адрес OneDrive, при нажатии на который запускалась многоэтапная цепочка заражения, которая в конечном итоге распространяла вариант вредоносного ПО WasabiSeed.
Организованный актер
Это вредоносное ПО загружает и выполняет дополнительные полезные нагрузки, включая специальный набор инструментов Screenshotter. Screenshotter, как следует из названия, делает снимки экрана взломанного рабочего стола и отправляет их на сервер Command & Control (C2). Если злоумышленникам понравится то, что они видят на скриншотах, они предоставят дополнительную полезную нагрузку. Исследователи не уверены, что это за вредоносное ПО, но говорят, что злоумышленники использовали AHK Bot и Rhadamanthys Stealer в предыдущих кампаниях.
Компания Proofpoint приписала кампанию TA866, поскольку она имела сходство с другой кампанией злоумышленников, наблюдавшейся в марте прошлого года. В обоих примерах, как утверждают исследователи, использовался спам-сервис TA571, был развернут загрузчик WasabiSeed и, наконец, был развернут скрипт Screenshotter. Однако по сравнению с мартовской кампанией есть некоторые заметные изменения. Например, группа решила использовать вложения PDF со ссылками OneDrive, чего раньше не было. В предыдущих кампаниях использовались вложения издателя с поддержкой макросов или URL-адреса 404 TDS непосредственно в теле электронного письма.
Исследователи описывают TA866 как «организованного субъекта, способного осуществлять хорошо спланированные атаки в большом масштабе» на основе наличия специальных инструментов и возможности приобретать дополнительные инструменты от других субъектов угрозы (например, инструмент для рассылки спама от TA571). Группа проводит кампании как по криминальному ПО, так и по кибершпионажу, продолжили исследователи, заявив, что эта конкретная кампания имела финансовую мотивацию. Получатели фишинговых писем не называются.
Больше от TechRadar Pro
