Proofpoint ha identificato una campagna malware attribuita al gruppo TA544 che sfrutta il nome dell’Agenzia delle Entrate ed è rivolta contro le aziende italiane. Lanciata il 14 febbraio, secondo il Threat Research Team di Proofpoint la campagna ha l’obiettivo di far scaricare il malware Danabot tramite un URL malevolo. Se aperto da un IP italiano, l’URL reindirizza al download di un file JavaScript che, se eseguito, scarica una DLL, eseguendola con l’esportazione personalizzata “enter” per lanciare DanaBot.
Come opera Danabot
DanaBot è un malware modulare che può essere utilizzato per la raccolta di informazioni, il monitoraggio remoto e per stabilire persistenza all’interno dell’azienda presa di mira. Non viene osservato spesso nelle campagne email. Quindi il suo utilizzo da parte di TA544 – per la prima volta in assoluto – è degno di nota.
Attenzione: il malware TA544 sfrutta il nome dell’Agenzia delle Entrate
DanaBot era stato utilizzato da un altro gruppo, il TA578, in una campagna email che portava al malware Latrodectus a dicembre 2023. In precedenza, l’ultimo rilevamento risaliva al luglio 2022. Due campagne recenti che utilizzano questo malware potrebbero significare che lo vedremo di più nei dati delle minacce via email. Tuttavia potrebbe essere solo una svolta temporanea prima di tornare ad altri payload.