TA866 Allarme Phishing Fattura: Distribuzione Malware WasabiSeed e Screenshotter nel Nord America
Il gruppo di minacce noto come TA866 ha riemerso con una nuova campagna di phishing mirata al Nord America, distribuendo le pericolose famiglie di malware WasabiSeed e Screenshotter.
L’allarme, emerso il 20 gennaio 2024 e bloccato da Proofpoint l’11 gennaio 2024, coinvolgeva l’invio di migliaia di e-mail a tema fattura, contenenti file PDF ingannevoli.
I PDF contenevano URL di OneDrive che, se cliccati, avviavano una catena di infezione a più fasi, portando infine al carico utile del malware.
Quest’ultimo rappresenta una variante del set di strumenti personalizzato WasabiSeed e Screenshotter. TA866, inizialmente documentato a febbraio 2023 durante la campagna Screentime, utilizza WasabiSeed come dropper di script Visual Basic per scaricare Screenshotter.
Quest’ultimo è capace di catturare screenshot del desktop della vittima a intervalli regolari e inviarli a un dominio controllato dall’attore.
Le prove suggeriscono che TA866 potrebbe avere motivazioni finanziarie, poiché Screenshotter agisce come uno strumento di ricognizione per identificare bersagli di alto valore e distribuire un bot basato su AutoHotKey (AHK) per rilasciare lo stealer di informazioni Rhadamanthys.
Ulteriori indagini da parte di ESET a giugno 2023 hanno rivelato sovrapposizioni tra Screentime e un altro set di intrusioni chiamato Asylum Ambuscade.
La catena di attacco più recente ha visto un cambiamento da allegati di Publisher abilitati alle macro a PDF con un link OneDrive contraffatto. La distribuzione dei PDF è affidata a TA571, un distributore di spam associato all’attore.
Quest’ultimo invia campagne di e-mail spam ad alto volume per consegnare una varietà di malware, tra cui AsyncRAT, NetSupport RAT, IcedID, PikaBot, QakBot e DarkGate. Quest’ultimo consente agli attaccanti di eseguire vari comandi, tra cui furto di informazioni, mining di criptovalute ed esecuzione di programmi arbitrari.
L’articolo approfondisce il funzionamento di DarkGate, venduto come Malware-as-a-Service a un numero limitato di gruppi di attacco.
DarkGate, apparso nel 2017, continua ad aggiornarsi per eludere la rilevazione con l’implementazione di tecniche anti-analisi. La ripresa di TA866 coincide con la rivelazione di Cofense sulle e-mail di phishing legate alle spedizioni, che mirano principalmente al settore manifatturiero per propagare malware come Agent Tesla e Formbook.
Il testo conclude con la menzione di una nuova tattica di elusione che sfrutta il caching dei prodotti di sicurezza, incorporando un URL di Call To Action (CTA) che punta a un sito Web attendibile.
Gli attaccanti sfruttano il meccanismo di caching, modificando l’URL dopo che il motore di sicurezza ha emesso un verdetto benigno, consentendo così alle e-mail di phishing di eludere la rilevazione e raggiungere con successo le caselle di posta delle vittime.