Attraverso il lavoro di Proofpoint è stato stilato un rapporto sulle attività del gruppo di cybercriminali TA453.
La gang, collegata in qualche modo all’Iran, si è resa protagonista di una serie di attacchi spear-phishing nell’ultimo periodo, prendendo di mira sia i sistemi operativi Windows che quelli macOS.
Secondo quanto affermato da Proofpoint “TA453 alla fine ha utilizzato una varietà di provider di hosting cloud per distribuire la backdoor GorjolEcho di PowerShell appena identificata“. Nel rapporto poi, viene riportato come “Quando gli è stata data l’opportunità, TA453 ha eseguito il porting del suo malware e ha tentato di lanciare una catena di infezione chiamata NokNok“.
TA453, noto anche con i nomi di APT35, Charming Kitten, Mint Sandstorm e Yellow Garuda, è un gruppo di minaccia legato al Corpo delle guardie rivoluzionarie islamiche (IRGC) dell’Iran che è attivo almeno dal 2011.
L’attacco spear-phishing di TA453 si adatta al sistema operativo della vittima
La recente campagna di spear-phishing agisce attraverso un collegamento malevolo a una macro di Google Apps Script, coinvolgendo anche un file RAR presente su uno spazio DropBox.
All’interno dell’archivio è presente un dropper LNK che dà il via a una procedura in più fasi per distribuire GorjolEcho. Questo, a sua volta, mostra un documento PDF esca, mentre attende segretamente i payload della fase successiva da un server remoto.
A rendere particolare questa forma di attacco vi è il fatto che, una volta individuato un computer macOS, l’agente malevolo cambia comportamento. In tale occasione, infatti, agisce inviando una seconda e-mail con un file ZIP.
A quanto pare, questo viene spacciato come un client VPN, ma risulta essere un Apple Script malevolo, capace di scaricare una backdoor.
A prescindere dal sistema operativo utilizzato dunque, è bene mantenere alta l’attenzione. L’adozione di un antivirus affidabile e di altri strumenti simili, può inoltre aumentare in maniera considerevole la sicurezza dei nostri computer.