Cybersikkerhedsfirmaet Proofpoint har fundet beviser for en produktiv cyberkriminalitetsgruppe, der bruger Netflix-hittet “Squid Game”s popularitet til at sprede Dridex-malwaren.
I et blogindlæg sagde Proofpoint, at TA575 – en “stor aktør i cyberkriminalitet” – har sendt e-mails, der foregiver at være en, der arbejder på showet, og opfordrer folk til at downloade ondsindede vedhæftede filer eller udfylde formularer med følsomme oplysninger .
E-mails kommer med emnelinjer, der siger ting som: “Squid Game er tilbage, se ny sæson før nogen anden”, “Inviter kunden til at få adgang til den nye sæson”, “Squid game new season commercials casting preview” og “Squid game planlagt sæsonreklamer med talentbesætning.”
Proofpoint sagde, at det fandt tusindvis af e-mails ved hjælp af lokkemidler, der var målrettet mod en række industrier i USA. Nogle af e-mails forsøger at lokke ofre ind ved at sige, at de kunne være med i showet, hvis de downloader et dokument og udfylder det.
Proofpoint
“De vedhæftede filer er Excel-dokumenter med makroer, der, hvis de er aktiveret, vil downloade Dridex banktrojanske affiliate-id '22203' fra Discord URL'er,” skrev Proofpoint-forskerne Axel F og Selena Larson.
Sherrod DeGrippo, vicepræsident for trusselsdetektion og -respons hos Proofpoint, fortalte ZDNet, at Dridex er en banktrojaner, der bruges til at suge penge direkte fra ofrets bankkonto.
“Men Dridex er også brugt til informationsindsamling eller som en malware-indlæser, der kan føre til efterfølgende infektioner såsom ransomware,” tilføjede DeGrippo.
Proofpoint har sporet TA575 siden slutningen af 2020 og bemærker, at gruppen typisk distribuerer Dridex gennem “ondsindede URL'er, vedhæftede filer fra Microsoft Office og adgangskodebeskyttede filer.” Banden bruger en række lokkemidler til at få ofre til at klikke på links eller downloade dokumenter, og de spiller ofte ud af popkulturen eller bruger fakturarelateret sprog i e-mails.
“I gennemsnit sender TA575 tusindvis af e-mails pr. kampagne, der påvirker hundredvis af organisationer. TA575 bruger også Discord-indholdsleveringsnetværket (CDN) til at hoste og distribuere Dridex,” sagde Proofpoint-forskerne og tilføjede, at Discord er blevet en “populær malware-hostingtjeneste”. for cyberkriminelle.”
Cybersikkerhedseksperter som ThreatModeler CEO Archie Agarwal sagde, at den kriminelle gruppe TA575 består af produktive, økonomisk motiverede opportunister, der specialiserer sig i Dridex-malware og driver dele af Cobalt Strike-servere.
Både Dridex malware- og Cobalt Strike-servere er eksempler på genbrug af andres arbejde, sagde Agarwal og forklarede, at Dridex stammer helt tilbage fra 2015 og var kendt for at specialisere sig i bankoplysningerstyveri.
Hank Schless, Senior Manager i Lookout for sikkerhedsløsninger, sagde, at cyberkriminelle gennem hele COVID-19-pandemien har brugt en række forskellige kroge relateret til vaccinen eller statsstøtte som et lokkemiddel til e-mails med ondsindede vedhæftede filer.
Udkigsdata viser, at trusselsaktører i høj grad målretter mod brugere gennem mobilkanaler såsom SMS, sociale medieplatforme, tredjeparts beskedapps, spil og endda datingapps. Han tilføjede, at en af de mest interessante dele af rapporten er, at TA575 bruger Discord CDN til at hoste og levere malwaren.
“Denne praksis med at bruge legitime tjenester som en mellemliggende kommando- og kontrolserver bliver mere almindelig. Vi ser det også ofte med datalagringsplatforme som Dropbox. Angribere gør dette, fordi det kan hjælpe dem med at glide forbi enhver opdager lettere, hvis trafikken ser lovlig ud,” sagde Schless.
Sikkerhed
Hackere fik på en eller anden måde deres rootkit en Microsoft-udstedt digital signatur Dette monster af en phishing-kampagne er ude efter dine adgangskoder SolarWinds hackere Nobelium til at slå globale it-forsyningskæder igen, Microsoft advarer om, at hackere skjuler deres ondsindede JavaScript-kode med et svært at slå trick Microsoft Teams: Dine videoopkald har lige fået et stort sikkerhedsløft Cybersikkerhed 101: Beskyt dit privatliv mod hackere, spioner, regeringen Banking | Sikkerheds-tv | Datastyring | CXO | Datacentre