I ricercatori di Proofpoint hanno identificato il ritorno di TA866 nei dati delle campagne di minacce via email, dopo nove mesi di assenza.
L’11 gennaio 2024, l’azienda ha bloccato una campagna massiccia, composta da diverse migliaia di email indirizzate al mercato del Nord America.
I messaggi a tema fatture contenevano PDF allegati con nomi come “Documento_[10 cifre].pdf” e soggetti diversi tra cui “Risultati di progetti”. I PDF contenevano URL di OneDrive che, se cliccati, avviavano una catena di infezione in più fasi che portava al payload del malware, una variante del set di strumenti personalizzati WasabiSeed e Screenshotter.
“L’attore delle minacce TA866 si distingue per l’uso di malware personalizzato e di servizi di distribuzione di malware di base, oltre a essere associato ad attività di ecrime e di Advanced Persistent Threat (APT)”, conferma Selena Larson, Proofpoint Senior Threat Intelligence Analyst. “Proofpoint non vedeva TA866 nei dati sulle minacce via email da circa nove mesi e la sua ricomparsa con una campagna ad alto volume è sicuramente degna di nota. La sua recente attività si allinea con quella di altri attori della criminalità informatica che rientrano dal tipico break che si verifica a fine anno, a conferma di un aumento complessivo delle minacce in queste prime settimane del 2024”.