Proofpoint: cosa c’è alla base degli attacchi del malware TA866

Il malware TA866 è ritenuto in grado di eseguire attacchi ben congegnati su scala.

malware

Dallo scorso ottobre fino al gennaio 2023, Proofpoint ha iniziato a monitorare gli attacchi del nuovo malware TA866 e ha tenuto sotto osservazione “Screentime”, serie di attività a sfondo finanziario. La catena di attacchi inizia con un’email contenente un allegato o un URL dannoso e con il suo set di strumenti personalizzati, tra cui WasabiSeed e Screenshotter, TA866 analizza l’attività delle vittime attraverso gli screenshot prima di installare un bot e uno stealer.

L’interesse per la vittima

Secondo i ricercatori di Proofpoint, TA866 è un attore di minacce dal comportamento interessante, che utilizza nelle proprie campagne strumenti di base e personalizzati. Trascorre tempo a cercare di capire se un obiettivo è degno di ulteriori payload utilizzando Screenshotter per scattare foto dello schermo dell’utente. Quindi le esamina manualmente prima di decidere se distribuire malware aggiuntivo.

Gli obiettivi degli attacchi del malware TA866

È evidente che un utente deve raggiungere un determinato valore prima di essere considerato degno di un altro payload. Le attività recenti sembrano avere motivazioni finanziarie. Tuttavia alcune storiche, che si sovrappongono a quello che chiamiamo TA866, suggeriscono anche obiettivi di spionaggio.

Proofpoint sta tracciando questa attività come effettuata dall’attore di minacce TA866, ritenuto un malintenzionato organizzato, in grado di eseguire attacchi ben congegnati su scala. E questo grazie alla disponibilità di strumenti personalizzati, alle connessioni e alla capacità di acquistare strumenti e servizi da altri fornitori e al volume crescente di attività.