Theo TechRadar, sau 9 tháng ẩn náu, nhóm hacker khét tiếng TA866 đã quay trở lại với một chiến dịch lừa đảo mới nhắm vào người dùng Bắc Mỹ. Đây là hồi chuông cảnh báo cho những ai chủ quan với an ninh mạng.
Theo báo cáo của Proofpoint, TA866 đã gửi hàng nghìn email với chủ đề hấp dẫn như “Thành quả của dự án” kèm theo tệp đính kèm PDF. Nếu nhấp vào, người dùng sẽ bị cuốn vào một chuỗi tấn công nhiều bước, cuối cùng dẫn đến việc cài đặt phần mềm độc hại WasabiSeed.
WasabiSeed đóng vai trò như một "con sâu" nguy hiểm, đánh cắp dữ liệu nhạy cảm và tải xuống các phần mềm độc hại khác. Trong đó có Screenshotter, phần mềm này sẽ lén chụp ảnh màn hình máy tính bị nhiễm và gửi chúng về máy chủ điều khiển của kẻ tấn công. Dựa trên những hình ảnh này, chúng có thể quyết định triển khai các phần mềm độc hại tiếp theo như AHK Bot và Rhadamanthys Stealer.
Proofpoint xác định TA866 là thủ phạm dựa trên những điểm tương đồng với chiến dịch tấn công khác của nhóm này vào tháng 3 năm ngoái. Cả hai chiến dịch đều sử dụng dịch vụ spam TA571, tải xuống trình tải xuống WasabiSeed và cuối cùng triển khai tập lệnh Screenshotter. Tuy nhiên, chiến dịch mới này có một số thay đổi đáng chú ý. Thay vì sử dụng các tệp đính kèm Publisher với macro hoặc URL lừa đảo trực tiếp trong email, lần này TA866 sử dụng tệp PDF chứa liên kết OneDrive.
Proofpoint đánh giá TA866 là một "nhóm hacker chuyên nghiệp, có khả năng thực hiện các cuộc tấn công quy mô được hoạch định kỹ lưỡng". Chúng sở hữu bộ công cụ riêng và có thể mua thêm công cụ từ các nhóm hacker khác. Hoạt động của TA866 bao gồm cả tội phạm mạng và gián điệp mạng, và chiến dịch mới này được cho là nhằm mục đích đánh cắp tài chính.
Sự tái xuất của TA866 là lời cảnh báo quan trọng về mối đe dọa luôn rình rập trong thế giới mạng. Hãy cảnh giác với các email lừa đảo, không nhấp vào các liên kết lạ và luôn cập nhật phần mềm bảo mật để bảo vệ bản thân trước những kẻ tấn công.