Theo TechRadar, sau 9 tháng ẩn náu, nhóm hacker nổi tiếng TA866 đã tái xuất với một chiến dịch lừa đảo mới nhằm vào người dùng ở Bắc Mỹ. Điều này là một cảnh báo cho những người chủ quan với an ninh mạng.
Theo báo cáo từ Proofpoint, TA866 đã gửi hàng nghìn email có tiêu đề hấp dẫn như "Thành tựu của dự án" kèm theo tệp đính kèm PDF. Nếu người dùng nhấp vào, họ sẽ bị hút vào một chuỗi tấn công đa bước, kết thúc bằng việc cài đặt phần mềm độc hại WasabiSeed.
WasabiSeed đóng vai trò như một "con sâu" nguy hiểm, lấy cắp dữ liệu nhạy cảm và tải xuống các phần mềm độc hại khác. Trong số đó, có Screenshotter, một phần mềm sẽ lén chụp ảnh màn hình máy tính bị nhiễm và gửi chúng về máy chủ điều khiển của kẻ tấn công. Dựa trên những hình ảnh này, chúng có thể quyết định triển khai các phần mềm độc hại tiếp theo như AHK Bot và Rhadamanthys Stealer.
Proofpoint đã xác định TA866 là người phạm tội dựa trên các đặc điểm tương đồng với chiến dịch tấn công trước của nhóm này vào tháng 3 năm trước. Cả hai chiến dịch đều sử dụng dịch vụ spam TA571, tải xuống trình tải xuống WasabiSeed và cuối cùng triển khai tập lệnh Screenshotter. Tuy nhiên, chiến dịch mới này có một số thay đổi đáng chú ý. Thay vì sử dụng các tệp đính kèm Publisher với macro hoặc URL lừa đảo trực tiếp trong email, lần này TA866 sử dụng tệp PDF chứa liên kết OneDrive.
Proofpoint đã đánh giá TA866 là một nhóm hacker chuyên nghiệp, có khả năng thực hiện các cuộc tấn công quy mô được hoạch định kỹ lưỡng. Nhóm này sở hữu bộ công cụ riêng và có thể mua thêm công cụ từ các nhóm hacker khác. Hoạt động của TA866 bao gồm cả tội phạm mạng và gián điệp mạng, và chiến dịch mới này được cho là nhằm mục đích đánh cắp tài chính.
Sự trở lại của TA866 là một cảnh báo quan trọng về nguy cơ luôn tiềm ẩn trong không gian mạng. Hãy cẩn trọng với các email lừa đảo, không bấm vào các đường dẫn không rõ nguồn gốc và luôn cập nhật phần mềm bảo mật để bảo vệ bản thân trước những kẻ tấn công.
