La amenaza conocida como TA866 ha regresado después de 9 meses sin actividad, con una nueva campaña de phishing masiva para distribuir familias de malware como WasabiSeed y Screenshotter.
La campaña envió miles de correos electrónicos con temática de facturación a los Estados Unidos y Canadá que contenían archivos PDF engañosos con URLs de OneDrive que iniciaban una cadena de infección de varias etapas, finalmente llevando a la carga de malware.
TA866 fue documentado por primera vez por Proofpoint en febrero de 2023, atribuyéndolo a una campaña llamada Screentime que distribuía WasabiSeed y Screenshotter. Están motivados financieramente y utilizan Screenshotter como herramienta de reconocimiento para identificar objetivos de alto valor y desplegar el ladrón de información Rhadamanthys.
Las pruebas sugieren que el grupo de crimeware llamado Asylum Ambuscade, activo desde al menos 2020, también está involucrado en ciberespionaje. La última cadena de ataque sigue siendo virtualmente idéntica a la anterior con el cambio de archivos adjuntos de Publisher a PDF, y confía en un servicio de spam proporcionado por TA571 para distribuir archivos PDF con trampas.
TA571 es un distribuidor de spam y envía campañas de correo electrónico de alto volumen para entregar e instalar una variedad de malware. Uno de ellos es DarkGate, que apareció por primera vez en 2017 y se vende en forma de Malware-as-a-Service solo a un pequeño número de grupos de ataque a través de foros clandestinos.
El resurgimiento de TA866 ocurre después de que Cofense revelara que los correos electrónicos de phishing relacionados con envíos se dirigen principalmente al sector manufacturero para propagar malware. Las tácticas de evasión también se están utilizando cada vez más para superar los mecanismos de seguridad.
En general, los ataques de phishing siguen una tendencia particular a lo largo del año con un pico en junio, octubre y noviembre. Por lo tanto, es importante ser consciente de estas tendencias en la industria y tomar medidas para protegerse contra estos ataques malintencionados.
