Il gruppo hacker noto come TA866, dopo un periodo di pausa durato diversi mesi, sembra essere tornato in attività con una nuova campagna phishing di vasta portata.
Secondo quanto rivelato dai ricercatori di Proofpoint, il cybercriminale sarebbe responsabile di un’operazione sul territorio del Nord America, con migliaia di e-mail inviate alle potenziali vittime.
A quanto pare, i messaggi di posta elettronica contengono un allegato PDF, con un URL che direziona il lettore verso OneDrive. In caso di clic, viene avviata un’infezione che coinvolge una variante del malware Wasabi Seed. Questo, a sua volta, comporta lo scaricamento e l’esecuzione di payload aggiuntivi.
Si parla, tra i vari agenti malevoli, di Screenshotter. Come è possibile intuire dal nome, si tratta di un tool che consente all’hacker di acquisire screenshot dal dispositivo compromesso.
Campagna phishing TA866: l’utilizzo di OneDrive rappresenta una novità per il gruppo
Per Proofpoint, la campagna in questione somiglia a un’altra azione simile intrapresa da TA866 nello scorso mese di marzo.
Rispetto alla precedente operazione, però, vi sono alcune sostanziali novità, come l’utilizzo di OneDrive e l’assenza dello sfruttamento di link malevoli presenti già nel corpo dell’e-mail.
I ricercatori descrivono TA866 come un “Organizzato in grado di eseguire attacchi ben ponderati su larga scala”, capace di utilizzare strumenti personalizzati e di sfruttarne di nuovi e avanzati. Come riportato dagli esperti, il gruppo conduce sia campagne di crimeware che di cyberspionaggio. In questo caso, però, sembra che a muovere TA866 sia un movente prettamente economico.
Ciò mette in evidenza, ancora una volta, come il fenomeno del phishing sia un pericolo concreto. Di fatto, per evitare possibili rischi, risulta indispensabile adottare una grande prudenza quando si ha a che fare con la posta elettronica e la necessità di affidarsi a una suite di sicurezza in grado di fornire adeguate garanzie.