Experter från cybersäkerhetsföretaget Proofpoint varnar nu för att den kriminella gruppen TA505 återgått till att sprida stora mängder skadliga mejl – och som nu riktas mot nya målgrupper.
Sedan början av september 2021 har experter från Proofpoint spårat nya bedrägerikampanjer i form av mejlutskick från den cyberkriminella gruppen TA505.
Mejlen, som distribueras över ett flera olika branscher, började med mindre volymer som stegvis ökade i slutet av september och slutade med hundratusentals utskick. Kampanjerna liknar tidigare attacker från gruppen som ägde rum 2019 och 2020, men innehåller nya element för att göra attackerna mer effektiva.
Attackerna raffineras och växlar målgrupp
De första attackerna som observerades av Proofpoint i september 2021 var relativt små i volym, med några tusen e-postmeddelanden per våg. I slutet av september och i början av oktober började TA505 skicka större volymer skadliga mejl, denna gång till hundratusentals mottager i flera branscher. Tidigare har angriparna främst riktat sina attacker mot Nordamerika men nu riktas attackerna även mot Europa.
Angriparna använder sig bland annat av mejl innehållande Excel-bilagor som när de öppnas leder till nedladdning av skadliga filer. Filerna utlöser i sin tur en serie installationer på mottagarens dator som ger angriparna tillgång till känsliga data och kontroll över den mottagarens dator.
I de tidigare kampanjerna som identifierades av Proofpoint i september användes lockbeten i mejlen som inte påverkade lika många branscher som de senaste utskicken i oktober. Den kriminella gruppen har i de senaste massutskicken börjat använda sig av lockbeten som juridiska dokument, lägesrapporter och i vissa fall även medicinska journaler.
Även ämnesrader har nu finjusterats jämfört med de mejl som upptäcktes inledningsvis. De har anpassats för att kunna tillämpas på fler branscher med mer generiska ämnesrader som “SÄKERFIL”, “SÄKERT DOKUMENT” eller “Du har skickats ett säkert meddelande.” Dessutom har den kriminella gruppen börjat använda kända varumärken och annat innehåll, bland annat: covid-19, DocuSign, och Microsoft, i syfte att vinna mottagarens förtroende.
– Att spåra TA505 är något av en ”guilty pleasure”. Även om den senaste kampanjkampen påminner om deras aktivitet från 2019 och 2020, saknas det inte spännande och nya element. Bland annat ersatte de pålitliga Get2 med flera nya nedladdare som är kodade på ovanliga språk, säger Sherrod DeGrippo, ansvarig för säkerhetsforskning på Proofpoint