O ator de ameaças rastreado como TA866 reapareceu após um hiato de nove meses com uma nova grande campanha de phishing para entregar famílias de malwares conhecidos, como WasabiSeed e Screenshotter.
A campanha, observada no início deste mês e bloqueada pela Proofpoint em 11 de janeiro de 2024, envolveu o envio de milhares de e-mails temáticos de faturas visando a América do Norte com arquivos PDF falsos.
"Os PDFs continham URLs do OneDrive que, se clicados, iniciavam uma cadeia de infecção em várias etapas, levando eventualmente ao payload do malware, uma variante do conjunto de ferramentas personalizadas WasabiSeed e Screenshotter", disse a empresa de segurança empresarial.
O TA866 foi documentado pela primeira vez pela empresa em fevereiro de 2023, atribuindo a uma campanha chamada Screentime que distribuiu WasabiSeed, um script Visual Basic dropper usado para baixar o Screenshotter, que é capaz de tirar capturas de tela da área de trabalho da vítima em intervalos regulares de tempo e exfiltrar esses dados para um domínio controlado pelo ator.
Há evidências para sugerir que o ator organizado pode ser motivado financeiramente, devido ao fato de Screenshotter agir como uma ferramenta de reconhecimento para identificar alvos de alto valor para pós-exploração, e implantar um bot baseado em AutoHotKey (AHK) para finalmente soltar o ladrão de informações Rhadamanthys.
Subsequentes descobertas da empresa eslovaca de cibersegurança ESET em junho de 2023 desenterraram sobreposições entre Screentime e outro conjunto de intrusão apelidado de Asylum Ambuscade, um grupo crimeware ativo desde pelo menos 2020 que também participa em operações de espionagem cibernética.
A cadeia de ataques mais recente permanece praticamente inalterada, exceto pela troca de anexos do Publisher habilitados para macro para PDFs com link OneDrive, com a campanha contando com um serviço de spam fornecido pelo TA571 para distribuir os PDFs armadilhados.
"TA571 é um distribuidor de spam, e este ator envia campanhas de e-mails de spam em alto volume para entregar e instalar uma variedade de malwares para seus clientes cibercriminosos", disse o pesquisador da Proofpoint, Axel F.
Isso inclui AsyncRAT, NetSupport RAT, IcedID, PikaBot, QakBot (também conhecido como Qbot) e DarkGate, o último dos quais permite aos atacantes executar vários comandos, como roubo de informações, mineração de criptomoedas e execução de programas arbitrários.
Splunk, a empresa que detectou múltiplas campanhas implantando um loader projetado para iniciar o DarkGate em endpoints comprometidos, disse que arquivos PDF maliciosos atuam como um transportador para um instalador MSI que executa um arquivo CAB para disparar a execução do DarkGate via script de carregamento AutoIT.
"DarkGate apareceu pela primeira vez em 2017 e é vendido apenas para um pequeno número de grupos de ataque na forma de Malware-as-a-Service através de fóruns subterrâneos", disse a empresa sul-coreana de cibersegurança S2W em uma análise do malware esta semana.
"DarkGate continua a atualizá-lo adicionando recursos e corrigindo bugs com base nos resultados da análise de pesquisadores e fornecedores de segurança", destacando os esforços contínuos feitos pelos adversários para implementar técnicas anti-análise para burlar a detecção.
A notícia do ressurgimento do TA866 surge quando a Cofense revelou que e-mails de phishing relacionados ao transporte visam principalmente o setor de manufatura para propagar malwares como Agent Tesla e Formbook.
"E-mails com temática de envio aumentam durante as temporadas de férias, embora apenas ligeiramente", disse o pesquisador de segurança da Cofense, Nathaniel Raymond.
"Na maior parte, as tendências anuais sugerem que esses e-mails seguem uma tendência particular ao longo do ano com graus variáveis de volumes, sendo os volumes mais significativos em junho, outubro e novembro."
O desenvolvimento também segue a descoberta de uma nova tática de evasão que aproveita o mecanismo de cache dos produtos de segurança para contorná-los, incorporando uma URL de Call To Action (CTA) que aponta para um site confiável na mensagem de phishing enviada ao indivíduo alvo.
"Sua estratégia envolve o cache de uma versão aparentemente benigna do vetor de ataque e subsequente alteração para entregar um payload malicioso", disse a Trellix, afirmando que tais ataques visaram desproporcionalmente os serviços financeiros, manufatura, varejo e seguros verticais na Itália, EUA, França, Austrália e Índia.
Quando tal URL é escaneada pelo motor de segurança, ela é marcada como segura, e o veredicto é armazenado em seu cache por um tempo determinado.
Isso também significa que se a URL for encontrada novamente dentro desse período de tempo, a URL não é reprocessada, e em vez disso, o resultado armazenado em cache é servido.
Trellix apontou que os atacantes estão se aproveitando dessa peculiaridade, esperando até que os fornecedores de segurança processem a URL do CTA e armazenem seu veredicto, e então alteram o link para redirecionar para a página de phishing pretendida.
"Com o veredicto sendo benigno, o email chega tranquilamente na caixa de entrada da vítima", disseram os pesquisadores de segurança Sushant Kumar Arya, Daksh Kapur e Rohan Shah.
"Agora, caso o destinatário desavisado decida abrir o email e clicar no link/botão dentro da URL do CTA, ele seria redirecionado para a página maliciosa."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...