El actor de amenazas rastreado como TA866 ha resurgido después de una pausa de nueve meses con una nueva campaña de phishing de gran volumen para distribuir familias de malware conocidas como WasabiSeed y Screenshotter.
La campaña, observada a principios de este mes y bloqueada por Proofpoint el 11 de enero de 2024, implicó el envío de miles de correos electrónicos con temas de facturas dirigidos a América del Norte con archivos PDF señuelo.
«Los archivos PDF contenían URL de OneDrive que, al hacer clic, iniciaban una cadena de infección de varios pasos que eventualmente conducía a la carga útil de malware, una variante del conjunto de herramientas personalizadas WasabiSeed y Screenshotter», dijo la firma de seguridad empresarial. dicho.
TA866 fue documentado por primera vez por la compañía en febrero de 2023, atribuyéndolo a una campaña llamada Screentime que distribuía WasabiSeed, un cuentagotas de scripts de Visual Basic que se utiliza para descargar Screenshotter, que es capaz de tomar capturas de pantalla del escritorio de la víctima a intervalos regulares de tiempo y filtrar esos datos a un dominio controlado por el actor.
Hay evidencia que sugiere que el actor organizado puede estar motivado financieramente debido al hecho de que Screenshotter actúa como una herramienta de reconocimiento para identificar objetivos de alto valor para la post-explotación y desplegar un robot basado en AutoHotKey (AHK) para finalmente eliminar a los Rhadamanthys. ladrón de información.
Los hallazgos posteriores de la empresa eslovaca de ciberseguridad ESET en junio de 2023 descubrieron superposiciones entre Screentime y otro conjunto de intrusiones denominado Asylum Ambuscade, un grupo de software criminal activo desde al menos 2020 que también participa en operaciones de ciberespionaje.
La última cadena de ataque permanece prácticamente sin cambios, salvo por el cambio de archivos adjuntos de Publisher habilitados para macros a archivos PDF que llevan un enlace de OneDrive fraudulento, y la campaña se basa en un servicio de spam proporcionado por TA571 para distribuir los archivos PDF con trampas explosivas.
«TA571 es un distribuidor de spam y este actor envía campañas de correo electrónico spam de gran volumen para entregar e instalar una variedad de malware para sus clientes cibercriminales», afirmó el investigador de Proofpoint, Axel F.
Esto incluye AsyncRAT, NetSupport RAT, IcedID, PikaBot, QakBot (también conocido como Qbot) y DarkGate, el último de los cuales permite a los atacantes realizar diversos comandos, como robo de información, extracción de criptomonedas y ejecución de programas arbitrarios.
Splunk, que detectado En múltiples campañas que implementan un cargador diseñado para iniciar DarkGate en puntos finales comprometidos, dichos archivos PDF maliciosos actúan como un soporte para un instalador MSI que ejecuta un archivo gabinete (CAB) para activar la ejecución de DarkGate a través del script del cargador AutoIT.
«Darkgate apareció por primera vez en 2017 y se vende sólo a un pequeño número de grupos de ataque en forma de malware como servicio a través de foros clandestinos», afirma la empresa surcoreana de ciberseguridad S2W. dicho en un análisis del malware esta semana.
«DarkGate continúa actualizándolo agregando funciones y corrigiendo errores basados en los resultados de los análisis de investigadores y proveedores de seguridad», destacando los esfuerzos continuos realizados por los adversarios para implementar técnicas anti-análisis para evitar la detección.
La noticia del resurgimiento de TA866 llega cuando Cofense reveló que los correos electrónicos de phishing relacionados con el envío seleccionan principalmente al sector manufacturero para propagar malware como Agent Tesla y Formbook.
«Los correos electrónicos con temas de envío aumentan durante las temporadas navideñas, aunque sólo ligeramente», afirma Nathaniel Raymond, investigador de seguridad de Cofense. dicho.
«En su mayor parte, las tendencias anuales sugieren que estos correos electrónicos siguen una tendencia particular a lo largo del año con distintos grados de volúmenes, siendo los volúmenes más significativos en junio, octubre y noviembre».
El desarrollo también sigue al descubrimiento de una novedosa táctica de evasión que aprovecha el mecanismo de almacenamiento en caché de los productos de seguridad para sortearlos incorporando una URL de llamado a la acción (CTA) que apunta a un sitio web confiable en el mensaje de phishing enviado al individuo objetivo.
«Su estrategia implica almacenar en caché una versión aparentemente benigna del vector de ataque y posteriormente alterarla para entregar una carga útil maliciosa», Trellix dichoafirmando que tales ataques se han dirigido de manera desproporcionada a los sectores verticales de servicios financieros, manufactura, comercio minorista y seguros en Italia, Estados Unidos, Francia, Australia e India.
Cuando el motor de seguridad escanea dicha URL, se marca como segura y el veredicto se almacena en su caché durante un tiempo determinado. Esto también significa que si la URL se vuelve a encontrar dentro de ese período de tiempo, la URL no se reprocesa y, en su lugar, se entrega el resultado almacenado en caché.
Trellix señaló que los atacantes se aprovechan de esta peculiaridad esperando hasta que los proveedores de seguridad procesen la URL de la CTA y almacenen en caché su veredicto, y luego alteren el enlace para redirigir a la página de phishing deseada.
«Como el veredicto es benigno, el correo electrónico llega sin problemas a la bandeja de entrada de la víctima», dijeron los investigadores de seguridad Sushant Kumar Arya, Daksh Kapur y Rohan Shah. «Ahora, si el destinatario desprevenido decide abrir el correo electrónico y hacer clic en el enlace/botón dentro de la URL de CTA, será redirigido a la página maliciosa».