Os especialistas em segurança da Proofpoint descobriram um novo grupo de hackers chamado TA866, que atacou dezenas de milhares de empresas com malware entre outubro de 2022 e janeiro de 2023. As atividades destinam-se especialmente a organizações na Alemanha e nos Estados Unidos.
Um detalhe dos ataques TA866 se destaca: os cibercriminosos primeiro analisam capturas de tela dos ambientes de TI de suas vítimas em potencial para identificar alvos particularmente lucrativos. Eles só tentam infectar a vítima com um bot ou ladrão se acharem que vale a pena se envolver mais.
🔎 A cadeia de ataque mostra todos os scripts, ferramentas e malwares envolvidos (Imagem: Proofpoint).
Lançamento de ataque com screentime
De outubro de 2022 a janeiro de 2023, a Proofpoint observou um conjunto de atividades motivadas financeiramente que os especialistas chamam de "tempo de tela". A cadeia de ataques começa com um e-mail que contém um anexo ou URL malicioso. Ambos levam a malware conhecido como "WasabiSeed" e "Screenshotter". Em alguns casos, a Proofpoint observou atividades que incluíam AHK Bot e Rhadamanthys Stealer após a infecção primária.
A maioria das campanhas em outubro e novembro de 2022 consistia em um número limitado de e-mails e focado em um pequeno número de empresas. As campanhas foram observadas em média uma ou duas vezes por semana e as mensagens continham arquivos do editor anexados. Em novembro e dezembro de 2022, na época em que o grupo fez a transição para o uso de URLs, a escala das operações aumentou e o volume de e-mail aumentou drasticamente. Campanhas típicas compreendiam milhares ou mesmo dezenas de milhares de e-mails e podiam ser observadas de duas a quatro vezes por semana. Em janeiro de 2023, a frequência das campanhas diminuiu, mas o volume de emails cresceu ainda mais.
A cadeia de infecção
Em 23 e 24 de janeiro de 2023, a Proofpoint observou dezenas de milhares de mensagens de e-mail direcionadas a mais de mil empresas. As mensagens visavam organizações nos Estados Unidos e na Alemanha. Os e-mails enviados pareciam depender de sequestro de tópicos e atraídos com linhas de assunto como "Verifique minha apresentação". Essas mensagens continham URLs maliciosos que lançavam uma cadeia de ataques em vários estágios. Quando um usuário clica no URL, ele inicia a cadeia de ataques. Em uma postagem no blog da Proofpoint, todas as etapas individuais são examinadas e documentadas usando várias capturas de tela.
Mais em proofpoint.com
Sobre o Proofpoint A Proofpoint, Inc. é uma empresa líder em cibersegurança. O foco da Proofpoint é a proteção dos funcionários. Porque estes representam o maior capital para uma empresa, mas também o maior risco. Com um conjunto integrado de soluções de segurança cibernética baseadas em nuvem, a Proofpoint ajuda organizações em todo o mundo a interromper ameaças direcionadas, proteger seus dados e educar os usuários corporativos de TI sobre os riscos de ataques cibernéticos.