L’acteur menaçant suivi comme TA866 a refait surface après une interruption de neuf mois avec une nouvelle campagne de phishing à grand volume visant à diffuser des familles de malwares connues telles que WasabiSeed et Screenshotter.
La campagne, observée plus tôt ce mois-ci et bloquée par Proofpoint le 11 janvier 2024, impliquait l’envoi de milliers d’e-mails sur le thème des factures ciblant l’Amérique du Nord et contenant des fichiers PDF leurres.
« Les fichiers PDF contenaient des URL OneDrive qui, si elles étaient cliquées, déclenchaient une chaîne d’infection en plusieurs étapes conduisant finalement à la charge utile du malware, une variante de l’ensemble d’outils personnalisés WasabiSeed et Screenshotter », a déclaré la société de sécurité d’entreprise. dit.
TA866 a été documenté pour la première fois par la société en février 2023, l’attribuant à une campagne nommée Screentime qui distribuait WasabiSeed, un compte-gouttes de script Visual Basic utilisé pour télécharger Screenshotter, capable de prendre des captures d’écran du bureau de la victime à intervalles réguliers et d’exfiltrer ces données vers un domaine contrôlé par un acteur.
Il existe des preuves suggérant que l’acteur organisé pourrait être motivé financièrement en raison du fait que Screenshotter agit comme un outil de reconnaissance pour identifier des cibles de grande valeur pour la post-exploitation et déployer un robot basé sur AutoHotKey (AHK) pour finalement abandonner le Rhadamanthys. voleur d’informations.
Des découvertes ultérieures de la société de cybersécurité slovaque ESET en juin 2023 ont mis au jour des chevauchements entre Screentime et un autre ensemble d’intrusions baptisé Asylum Ambuscade, un groupe de logiciels criminels actif depuis au moins 2020 qui se livre également à des opérations de cyberespionnage.
La dernière chaîne d’attaque reste pratiquement inchangée, à l’exception du passage des pièces jointes Publisher compatibles avec les macros aux PDF portant un lien OneDrive malveillant, la campagne s’appuyant sur un service de spam fourni par TA571 pour distribuer les PDF piégés.
« TA571 est un distributeur de spam, et cet acteur envoie des campagnes de spam à volume élevé pour fournir et installer une variété de logiciels malveillants pour ses clients cybercriminels », a déclaré Axel F, chercheur chez Proofpoint.
Cela inclut AsyncRAT, NetSupport RAT, IcedID, PikaBot, QakBot (alias Qbot) et DarkGate, ce dernier permettant aux attaquants d’exécuter diverses commandes telles que le vol d’informations, l’extraction de cryptomonnaie et l’exécution de programmes arbitraires.
Splunk, qui détecté Dans plusieurs campagnes déployant un chargeur conçu pour lancer DarkGate sur des points de terminaison compromis, les fichiers PDF malveillants agissent comme un support pour un programme d’installation MSI qui exécute une archive cabinet (CAB) pour déclencher l’exécution de DarkGate via le script de chargeur AutoIT.
« Darkgate est apparu pour la première fois en 2017 et n’est vendu qu’à un petit nombre de groupes d’attaque sous la forme de Malware-as-a-Service via des forums clandestins », a déclaré la société de cybersécurité sud-coréenne S2W. dit dans une analyse du malware cette semaine.
« DarkGate continue de le mettre à jour en ajoutant des fonctionnalités et en corrigeant des bugs sur la base des résultats d’analyse des chercheurs et des fournisseurs en sécurité », soulignant les efforts continus déployés par les adversaires pour mettre en œuvre des techniques d’anti-analyse pour contourner la détection.
La nouvelle de la résurgence du TA866 survient alors que Cofense a révélé que les e-mails de phishing liés au transport ciblent principalement le secteur manufacturier pour propager des logiciels malveillants tels que l’agent Tesla et Formbook.
« Les e-mails sur le thème du transport maritime augmentent pendant la période des fêtes, quoique légèrement », explique Nathaniel Raymond, chercheur en sécurité chez Cofense. dit.
« Pour la plupart, les tendances annuelles suggèrent que ces e-mails suivent une tendance particulière tout au long de l’année avec des volumes variables, les volumes les plus importants étant enregistrés en juin, octobre et novembre. »
Le développement fait également suite à la découverte d’une nouvelle tactique d’évasion qui exploite le mécanisme de mise en cache des produits de sécurité pour les contourner en incorporant une URL d’appel à l’action (CTA) qui pointe vers un site Web de confiance dans le message de phishing envoyé à la personne ciblée.
« Leur stratégie consiste à mettre en cache une version apparemment inoffensive du vecteur d’attaque, puis à la modifier pour délivrer une charge utile malveillante », déclare Trellix. ditaffirmant que de telles attaques ont ciblé de manière disproportionnée les secteurs verticaux des services financiers, de l’industrie manufacturière, de la vente au détail et de l’assurance en Italie, aux États-Unis, en France, en Australie et en Inde.
Lorsqu’une telle URL est analysée par le moteur de sécurité, elle est marquée comme sûre et le verdict est stocké dans son cache pendant une durée définie. Cela signifie également que si l’URL est rencontrée à nouveau au cours de cette période, elle n’est pas retraitée et le résultat mis en cache est diffusé à la place.
Trellix a souligné que les attaquants profitent de cette bizarrerie en attendant que les fournisseurs de sécurité traitent l’URL du CTA et mettent en cache leur verdict, puis modifient le lien pour rediriger vers la page de phishing prévue.
« Le verdict étant inoffensif, l’e-mail arrive sans problème dans la boîte de réception de la victime », ont déclaré les chercheurs en sécurité Sushant Kumar Arya, Daksh Kapur et Rohan Shah. « Maintenant, si le destinataire sans méfiance décide d’ouvrir l’e-mail et de cliquer sur le lien/bouton dans l’URL du CTA, il sera redirigé vers la page malveillante. »