Na semana passada, dois agentes de ameaças diferentes se uniram para enviar milhares de e-mails de phishing pós-férias destinados a organizações norte-americanas.
Além do volume, a campanha foi bastante normal. O que é mais interessante, talvez, é o momento da campanha – e a relação dos perpetradores por trás dela.
Os e-mails continham assuntos preguiçosos e ganchos corporativos (por exemplo, “Olá, em anexo você encontrará a fatura de dezembro de 2023”). Os usuários que clicaram no link do OneDrive contido em um PDF anexado receberam uma dupla de malware personalizado: um downloader chamado “WasabiSeed” e o evidente “Screenshotter”. Ponto de Prova, que escreveu sobre a campanha na quinta-feira, bloqueou os e-mails antes que eles chegassem aos destinos pretendidos.
Para o ponto mais interessante, o principal culpado, que a Proofpoint rastreia como TA866, ficou quase em silêncio durante nove meses antes. Seu co-conspirador, TA571, parece ter estado offline durante as férias de inverno. Mas depois de desfrutar de alguns chocolates quentes e da alegria do feriado, o antigo ator de ameaça usou o último ator de ameaça para entregar com sucesso seu conteúdo malicioso de baixo grau em grande escala.
Spammers se unem a distribuidores de tráfego
O TA866 está ativo pelo menos desde outubro de 2022. Porém, nas primeiras semanas de operação, foi relativamente moderado, enviando apenas um número limitado de e-mails para um pequeno número de organizações.
No final de 2022, o grupo começou a vincular URLs de conteúdo malicioso por meio de sistemas de distribuição de tráfego (TDSes). Os TDSes são intermediários cada vez mais populares no mundo cibernético, conectando phishers a provedores de conteúdo malicioso e filtrando o tráfego das vítimas para obter lucro máximo.
Tão rapidamente quanto fez essa mudança, As campanhas do TA866 explodiram a milhares de e-mails por rodada. Parece seguir essa fórmula, já que esta última campanha utiliza o TDS do TA571 para distribuir PDFs maliciosos.
No entanto, o TA866 não é o único parceiro no crime do TA571. No mês passado, a Proofpoint revelou um novo ator de ameaça, “BattleRoyal”, que, como o TA866, utilizou redes TDS para espalhar URLs maliciosos. Desde então, ficou claro que o BattleRoyal também estava utilizando os serviços do TA571.
“Muitas vezes, neste ecossistema de crimes cibernéticos, cada ator tem seu próprio trabalho. Você tem pessoas enviando spam, pessoas vendendo carregadores, pessoas fazendo o reconhecimento pós-exploração e, nesse ponto, elas podem vender acesso a um ator de ameaça de ransomware”, explica Selena Larson, analista sênior de inteligência de ameaças da Proofpoint. Por exemplo, campanhas anteriores do TA866 envolviam o ladrão Rhadamanthys, uma oferta Dark Web usada para roubar carteiras criptografadas, contas Steam, senhas de navegadores, clientes FTP, clientes de bate-papo (por exemplo, Telegram, Discord), clientes de e-mail, configurações VPN, cookies, arquivos, e mais.
Atores de grandes ameaças tiram férias
Além das parcerias TDS, o momento do ataque da semana passada também pode reflectir algo mais profundo sobre o actual submundo do crime cibernético.
Tão certo quanto Mariah Carey pode ser ouvida no rádio todos os anos na virada do inverno, a comunidade de segurança cibernética levanta sinalizadores de alerta sobre ataques de feriados recebidos. Mas, como explica Larson, “tendemos a ver uma diminuição na atividade de alguns dos grupos de crimes cibernéticos de maior volume e com mais recursos, que realizam mais entrega de malware e podem levar a coisas como, potencialmente, ransomware.
“Muitas vezes vemos alguns dos principais atores do crime eletrônico fazendo pausas durante as férias. O Emotet costumava ser o melhor exemplo disso, caindo regularmente de dezembro a meados de janeiro. Este ano, por exemplo, o TA571 fez uma pausa entre meados de dezembro e a segunda semana de janeiro”, afirma. Larson também observa que em algumas partes do mundo, a temporada de férias se estende mais profundamente até janeiro do que nos EUA.
Em outras palavras, os atores de ameaças mais sérios que tiraram folga no Natal podem estar voltando a ficar online agora.
“A Proofpoint também está observando o retorno de outros atores das tradicionais férias de fim de ano”, observou a empresa em seu blog, “e, portanto, a atividade geral do cenário de ameaças [está] aumentando”.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/threat-intelligence/threat-actors-post-holiday-phishing-email-surge
- :tem
- :é
- $UP
- 2022
- 2023
- 7
- a
- Sobre
- Acesso
- Contas
- ativo
- atividade
- atores
- Depois de
- tb
- americano
- an
- analista
- e
- SOMOS
- por aí
- AS
- At
- ataque
- em caminho duplo
- BE
- tornam-se
- sido
- antes
- atrás
- MELHOR
- entre
- bloqueado
- Blog
- Break
- quebra
- navegadores
- mas a
- chamado
- Campanha
- Campanhas
- CAN
- bate-papo
- Natal
- remover filtragem
- clientes
- comunidade
- Empresa
- Conexão de
- contida
- conteúdo
- bolinhos
- Responsabilidade
- cripto
- carteiras de cripto
- personalizadas
- cibernético
- cibercrime
- Cíber segurança
- Escuro
- dark web
- Dezembro
- diminuir
- mais profunda
- entregar
- Entrega
- destinos
- destinado
- diferente
- discórdia
- distribuir
- distribuição
- do
- parece
- fazer
- Caindo
- duo
- durante
- e
- cada
- ecossistema
- e-mails
- final
- desfrutando
- Cada
- exemplo
- Explica
- se estende
- bastante
- poucos
- Arquivos
- filtragem
- Encontre
- Primeiro nome
- bandeiras
- Escolha
- Antigo
- Fórmula
- da
- obtendo
- Grupo
- Do grupo
- Ter
- ouviu
- hi
- Feriado
- férias
- Hooks
- HOT
- HTTPS
- in
- Entrada
- aumentando
- cada vez mais
- Inteligência
- Pretendido
- interessante
- para dentro
- fatura
- envolvido
- isn
- IT
- ESTÁ
- janeiro
- Trabalho
- jpg
- apenas por
- paisagem
- Sobrenome
- mais recente
- conduzir
- mínimo
- como
- Limitado
- linhas
- LINK
- vinculação
- moldadas
- a Principal
- principal
- Fazendo
- malicioso
- malwares
- Massa
- máximo
- Posso..
- poder
- Mês
- mês
- mais
- quase
- redes
- Novo
- nove
- Norte
- notado
- Notas
- agora
- número
- Outubro
- of
- WOW!
- oferecendo treinamento para distância
- modo offline
- frequentemente
- muitas vezes
- on
- online
- só
- operação
- organizações
- Outros
- global
- próprio
- parcerias
- peças
- senhas
- Pessoas
- para
- possivelmente
- Phishing
- platão
- Inteligência de Dados Platão
- PlatãoData
- ponto
- Popular
- potencialmente
- anterior
- Prévio
- Lucro
- fornecedores
- rapidamente
- Rádio
- raises
- ransomware
- alcançado
- refletir
- regularmente
- relacionamento
- relativamente
- retorno
- Revelado
- certo
- s
- diz
- Escala
- Épocas
- Segundo
- Vejo
- parece
- vender
- Vender
- enviar
- envio
- senior
- grave
- servido
- Serviços
- ela
- desde
- pequeno
- alguns
- algo
- um pouco
- Spam
- propagação
- padrão
- começado
- Steam
- aderindo
- sujeito
- entraram com sucesso
- certamente
- surge
- Interruptor
- sistemas
- Tire
- Profissionais
- uniu-se
- Telegram
- Tender
- do que
- que
- A
- o mundo
- deles
- então
- deles
- coisas
- isto
- este ano
- Apesar?
- milhares
- ameaça
- atores de ameaças
- Através da
- Assim
- cronometragem
- para
- hoje
- também
- levou
- tradicional
- tráfego
- VIRAR
- dois
- subterrâneo
- us
- usar
- usava
- usuários
- utilizado
- utiliza
- via
- Vítima
- volume
- VPN
- Carteiras
- foi
- we
- web
- semana
- semanas
- foram
- O Quê
- qual
- QUEM
- precisarão
- Inverno
- de
- palavras
- mundo
- ano
- Vocês
- zefirnet
