Cyberbeveiligingsbedrijf Proofpoint heeft bewijs gevonden van een productieve cybercriminaliteitsgroep die de populariteit van Netflix-hit “Squid Game” gebruikt om de Dridex-malware te verspreiden.
In een blogpost zei Proofpoint dat TA575 — een “grote cybercriminaliteitsacteur” — e-mails heeft gestuurd die zich voordoen als iemand die aan de show werkt, en mensen aanmoedigt om kwaadaardige bijlagen te downloaden of formulieren in te vullen met gevoelige informatie .
De e-mails bevatten onderwerpregels die dingen zeggen als: “Squid Game is terug, kijk het nieuwe seizoen voor iemand anders”, “Nodig de klant uit om toegang te krijgen tot het nieuwe seizoen”, “Squid game nieuwe seizoen commercials casting preview” en “Squid game gepland seizoen commercials talent cast schema.”
Proofpoint zei dat het duizenden e-mails had gevonden met het kunstaas dat gericht was op verschillende industrieën in de VS. Sommige e-mails proberen slachtoffers naar binnen te lokken door te zeggen dat ze in de show zouden kunnen zijn als ze een document downloaden en invullen.
Proofpoint
“De bijlagen zijn Excel-documenten met macro's die, indien ingeschakeld, de Dridex banking trojan affiliate-ID '22203' van Discord-URL's zullen downloaden”, schreven Proofpoint-onderzoekers Axel F en Selena Larson.
Sherrod DeGrippo, vice-president van detectie en reactie van bedreigingen bij Proofpoint, vertelde ZDNet dat Dridex een banktrojan is die wordt gebruikt om geld rechtstreeks van de bankrekening van het slachtoffer te sluizen.
“Maar Dridex is dat wel. ook gebruikt voor het verzamelen van informatie of als een malware-loader die kan leiden tot vervolginfecties zoals ransomware, “voegde DeGrippo eraan toe.
Proofpoint volgt TA575 sinds eind 2020 en merkt op dat de groep Dridex meestal verspreidt via “kwaadaardige URL's, Microsoft Office-bijlagen en met een wachtwoord beveiligde bestanden”. De bende gebruikt verschillende soorten kunstaas om slachtoffers op links te laten klikken of documenten te downloaden, waarbij ze vaak uitgaan van de popcultuur of factuurgerelateerde taal gebruiken in e-mails.
“Gemiddeld verstuurt TA575 duizenden e-mails per campagne met gevolgen voor honderden organisaties. TA575 gebruikt ook het Discord Content Delivery Network (CDN) om Dridex te hosten en te distribueren”, aldus de Proofpoint-onderzoekers, eraan toevoegend dat Discord een “populaire malware-hostingservice is geworden”. voor cybercriminelen.”
Cybersecurity-experts zoals ThreatModeler CEO Archie Agarwal zei dat de criminele groep TA575 bestaat uit productieve, financieel gemotiveerde opportunisten die gespecialiseerd zijn in Dridex-malware en delen van Cobalt Strike-servers exploiteren.
Zowel de Dridex-malware als de Cobalt Strike-servers zijn voorbeelden van het herbestemmen van het werk van anderen, zei Agarwal, en legde uit dat Dridex dateert uit 2015 en bekend stond om zijn specialisatie in diefstal van bankgegevens.
Hank Schless, senior manager beveiligingsoplossingen van Lookout, zei dat cybercriminelen tijdens de COVID-19-pandemie verschillende haken en ogen hebben gebruikt die verband houden met het vaccin of overheidssteun als lokmiddel voor e-mails met kwaadaardige bijlagen.
Uit uitkijkgegevens blijkt dat dreigingsactoren zich sterk richten op gebruikers via mobiele kanalen zoals sms, sociale-mediaplatforms, berichten-apps van derden, gaming en zelfs dating-apps. Hij voegde eraan toe dat een van de meest interessante delen van het rapport is dat TA575 het Discord CDN gebruikt om de malware te hosten en af te leveren.
“Deze praktijk van het gebruik van legitieme services als een intermediaire commando- en controleserver komt steeds vaker voor. We zien het ook vaak met gegevensopslagplatforms zoals Dropbox. Aanvallers doen dit omdat het hen kan helpen om voorbij te glippen. detecties gemakkelijker als het verkeer er legitiem uitziet,” zei Schless.
Beveiliging
Hackers hebben op de een of andere manier aan hun rootkit een door Microsoft uitgegeven digitale handtekening gekregen. waarschuwt Hackers verbergen hun kwaadaardige JavaScript-code met een moeilijk te verslaan truc Microsoft Teams: uw videogesprekken hebben zojuist een grote beveiligingsboost gekregen Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid Bankieren | Beveiliging TV | Gegevensbeheer | CXO | Datacenters