Actorii amenințărilor fac echipă pentru creșterea e-mailurilor de phishing după vacanță

Săptămâna trecută, doi actori diferiți de amenințări au făcut echipă pentru a trimite mii de e-mailuri de phishing după vacanță, destinate organizațiilor nord-americane.

În afară de volum, campania a fost un tarif destul de standard. Ceea ce este mai interesant, poate, este momentul campaniei – și relația dintre autorii din spatele acesteia.

E-mailurile conțineau subiecte leneșe și cârlige corporative (de exemplu, „Bună, în atașat veți găsi factura pentru decembrie 2023”). Utilizatorii care au făcut clic pe linkul OneDrive conținut într-un PDF atașat li s-au oferit un duo de programe malware personalizate: un program de descărcare numit „WasabiSeed” și „Screenshotter” evident. Proofpoint, care a scris despre campanie joi, au blocat e-mailurile înainte ca acestea să ajungă la destinațiile dorite.

La un punct mai interesant, principalul vinovat, pe care Proofpoint îl urmărește ca TA866, a fost aproape tăcut timp de nouă luni înainte. Co-conspiratorul său, TA571, pare să fi fost offline în timpul vacanței de iarnă. Dar, după ce sa bucurat de niște ciocolate calde și de bucurie de sărbători, fostul actor de amenințare l-a folosit pe cel de-al doilea actor de amenințare pentru a-și livra cu succes conținutul rău intenționat la scară largă.

Spammerii fac echipă cu distribuitorii de trafic

TA866 a fost activ cel puțin din octombrie 2022. În primele săptămâni de funcționare, totuși, a fost relativ blând, trimițând doar un număr limitat de e-mailuri către un număr mic de organizații.

Până la sfârșitul anului 2022, grupul a început să se conecteze la adresele URL ale conținutului rău intenționat prin intermediul sistemelor de distribuție a traficului (TDS). TDS-urile sunt un intermediar din ce în ce mai popular al ciberneticului clandestin, conectând phisher-ii la furnizorii de conținut rău intenționați și filtrand traficul victimelor între ele pentru un profit maxim.

La fel de repede cum a făcut această schimbare, Campaniile lui TA866 au explodat la mii de e-mailuri pentru fiecare întrerupere. Se pare că rămâne cu această formulă, deoarece această ultimă campanie utilizează TDS-ul TA571 pentru a distribui PDF-urile rău intenționate.

Totuși, TA866 nu este singurul partener în crimă al lui TA571. Luna trecută, a dezvăluit Proofpoint un nou actor de amenințări, „BattleRoyal”, care, la fel ca TA866, a folosit rețele TDS pentru a răspândi adrese URL rău intenționate. De atunci, a devenit clar că și BattleRoyal folosea serviciile TA571.

„De multe ori, în acest ecosistem al criminalității cibernetice, fiecare actor are propria sa meserie. Aveți oameni care trimit spam, oameni care vând încărcătoare, oameni care fac recunoașterea post-exploatare și apoi, în acel moment, ar putea vinde accesul unui actor de amenințări ransomware”, explică Selena Larson, analist senior de informații despre amenințări Proofpoint. De exemplu, campaniile anterioare TA866 au implicat furtul Rhadamanthys, o ofertă de Dark Web folosită pentru a captura portofele cripto, conturi Steam, parole din browsere, clienți FTP, clienți de chat (de exemplu, Telegram, Discord), clienți de e-mail, configurații VPN, cookie-uri, fișiere, și altele.

Actorii majori de amenințări își iau o vacanță

Pe lângă parteneriatele TDS, momentul atacului de săptămâna trecută poate reflecta și ceva mai profund despre criminalitatea cibernetică de astăzi.

La fel de sigur cum Mariah Carey poate fi auzită la radio chiar la începutul iernii în fiecare an, comunitatea de securitate cibernetică ridică steaguri de avertizare cu privire la atacurile de sărbători. Dar, după cum explică Larson, „tendem să vedem o scădere a activității din partea unora dintre grupurile de criminalitate cibernetică cu volum mai mare, oarecum mai bine dotate cu resurse, care livrează mai multe programe malware și pot duce la lucruri precum, potențial, ransomware.

„Vedem adesea ca unii dintre actorii majori de e-crime iau pauze în preajma sărbătorilor. Emotet a fost cel mai bun exemplu în acest sens, plecând în mod regulat în decembrie până la mijlocul lunii ianuarie. Anul acesta, de exemplu, TA571 a luat o pauză între mijlocul lunii decembrie și a doua săptămână a lunii ianuarie”, spune ea. Larson observă, de asemenea, că în unele părți ale lumii, sezonul sărbătorilor se extinde mai adânc în ianuarie decât în ​​SUA.

Cu alte cuvinte, cei mai serioși actori de amenințări care și-au luat Crăciunul s-ar putea să se întoarcă acum online.

„Proofpoint observă, de asemenea, că alți actori se întorc din vacanțele tradiționale de sfârșit de an”, a menționat compania pe blogul său, „și astfel activitatea generală a amenințărilor [este] în creștere.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/threat-intelligence/threat-actors-post-holiday-phishing-email-surge