Cybersäkerhetsföretaget Proofpoint har hittat bevis på att en produktiv cyberbrottsgrupp använder populariteten hos Netflix-hiten “Squid Game” för att sprida Dridex skadliga program.
I ett blogginlägg sa Proofpoint att TA575 – en “stor cyberbrottsaktör” – har skickat e-postmeddelanden som utger sig för att vara någon som arbetar på programmet, och uppmanar folk att ladda ner skadliga bilagor eller fylla i formulär med känslig information .
E-postmeddelandena kommer med ämnesrader som säger saker som: “Squid Game är tillbaka, titta på ny säsong före någon annan”, “Bjud in för kunden att få tillgång till den nya säsongen”, “Squid game new season reklamsändningar förhandsvisning” och “Squid game schemalagd säsongsreklam för talangbesättning.”
Proofpoint sa att det hittade tusentals e-postmeddelanden med hjälp av beten som riktade sig till en mängd olika industrier i USA. Några av mejlen försöker locka in offer genom att säga att de kan vara med i programmet om de laddar ner ett dokument och fyller i det.
Proofpoint
“Bilagorna är Excel-dokument med makron som, om de är aktiverade, kommer att ladda ner Dridex banktrojans affiliate-id '22203' från Discord URLs”, skrev Proofpoint-forskarna Axel F och Selena Larson.
Sherrod DeGrippo, vice VD för hotdetektion och respons på Proofpoint, sa till ZDNet att Dridex är en banktrojan som används för att suga pengar direkt från offrets bankkonto.
“Men Dridex är används också för att samla in information eller som en skadlig programvara som kan leda till uppföljande infektioner som ransomware,” tillade DeGrippo.
Proofpoint har spårat TA575 sedan slutet av 2020, och noterar att gruppen vanligtvis distribuerar Dridex genom “skadliga webbadresser, Microsoft Office-bilagor och lösenordsskyddade filer.” Gänget använder en mängd olika lockbeten för att få offer att klicka på länkar eller ladda ner dokument, ofta spela popkultur eller använda fakturarelaterat språk i e-postmeddelanden.
“I genomsnitt skickar TA575 tusentals e-postmeddelanden per kampanj som påverkar hundratals organisationer. TA575 använder också Discord Content Delivery Network (CDN) för att vara värd och distribuera Dridex”, sa Proofpoint-forskarna och tillade att Discord har blivit en “populär värdtjänst för skadlig programvara för cyberbrottslingar.”
Cybersäkerhetsexperter som ThreatModelers vd Archie Agarwal sa att den kriminella gruppen TA575 består av produktiva, ekonomiskt motiverade opportunister som specialiserar sig på Dridex skadlig programvara och driver delar av Cobalt Strike-servrar.
Både Dridex malware och Cobalt Strike-servrarna är exempel på att återanvända andras arbete, sa Agarwal och förklarade att Dridex går tillbaka så långt tillbaka som 2015 och var känt för att specialisera sig på stöld av bankuppgifter.
Hank Schless, Senior Manager på Lookout för säkerhetslösningar, sa att cyberkriminella under hela COVID-19-pandemin har använt en mängd olika krokar relaterade till vaccinet eller statligt stöd som ett lockande för e-postmeddelanden med skadliga bilagor.
Utkiksdata visar att hotaktörer riktar sig kraftigt mot användare via mobila kanaler som SMS, sociala medieplattformar, meddelandeappar från tredje part, spel och till och med dejtingappar. Han tillade att en av de mest intressanta delarna av rapporten är att TA575 använder Discord CDN för att vara värd för och leverera skadlig programvara.
“Denna praxis att använda legitima tjänster som en mellanliggande kommando- och kontrollserver blir allt vanligare. Vi ser det ofta även med datalagringsplattformar som Dropbox. Angripare gör detta eftersom det kan hjälpa dem att glida förbi alla upptäckter lättare om trafiken ser legitim ut, säger Schless.
Säkerhet
Hackare fick på något sätt sitt rootkit en Microsoft-utfärdad digital signatur. Detta monster av en nätfiskekampanj är ute efter dina lösenord SolarWinds hackare Nobelium ska slå globala IT-försörjningskedjor igen, Microsoft varnar Hackare döljer sin skadliga JavaScript-kod med ett svårtillgängligt trick Microsoft Teams: Dina videosamtal har precis fått en stor säkerhetshöjning Cybersäkerhet 101: Skydda din integritet från hackare, spioner, regeringen Banking | Säkerhets-TV | Datahantering | CXO | Datacenter