Proofpoint, una compañía especializada en seguridad cibernética, ha identificado el regreso del grupo TA866 en campañas de amenazas por correo electrónico después de nueve meses de inactividad.
En un comunicado emitido hoy, la compañía informó que había frustrado una masiva campaña realizada el 11 de enero, dirigida a varios miles de correos electrónicos, principalmente en América del Norte.
Los correos electrónicos maliciosos adoptaron la forma de facturas y estaban equipados con archivos PDF con el nombre «Documento_[10 dígitos].pdf» y temas relacionados como «Logros del Proyecto».
Al abrir estos archivos PDF, los usuarios eran redirigidos a través de una fuente de infección de varias etapas utilizando enlaces de OneDrive. Al hacer clic en estos enlaces, se iniciaba una secuencia que involucraba archivos JavaScript, archivos MSI y las herramientas WasabiSeed y Screenshotter, lo que resultaba en la instalación de un software malicioso.
Según Proofpoint, la cadena de ataque se parecía mucho a una campaña anterior documentada por la compañía el 20 de marzo de 2023, lo que permitió atribuirla al grupo TA571, un conocido distribuidor de correo no deseado, así como al TA866.
Según el anuncio, un cambio significativo en esta campaña fue el uso de archivos PDF que contenían enlaces de OneDrive. Esto se desvió de los métodos anteriores, que incluían adjuntos de Publisher con macros activadas o URLs TDS 404.
Además, se atribuyeron al grupo TA866 las herramientas utilizadas después de la explotación, que incluyen archivos JavaScript y MSI con los componentes WasabiSeed y Screenshotter. Este grupo es un actor de amenazas involucrado tanto en actividades delictivas como en ciberespionaje. Esta campaña en particular muestra indicios de motivación financiera.
«TA866 es único debido a su uso de malware personalizado y servicios de entrega de archivos maliciosos, así como su asociación con el crimen electrónico y la actividad de [APT]», explica Selena Larson, Analista de Amenazas Senior en Proofpoint.
«No habíamos visto al grupo TA866 en datos de amenazas por correo electrónico durante aproximadamente nueve meses, y su regreso con una campaña de correo electrónico de alto volumen es notable. Su actividad reciente se alinea con el regreso de otros actores de amenazas cibernéticas después del período estándar de pausa anual, lo que indica un aumento general de amenazas a medida que nos adentramos en el 2024».
Preguntas Frecuentes:
The source of the article is from the blog queerfeed.com.br