TA505 este un grup de infractori cibernetici activ din 2014, care vizează instituții financiare și de învățământ. În februarie 2020, Universitatea Maastricht, o universitate publică din Țările de Jos, a raportat că a fost victima unui atac ransomware masiv al TA505, care a folosit e-mailuri de phishing. TA505 utilizează de obicei e-mailuri de phishing pentru a livra fișiere Excel malițioase care lansează sarcini utile odată ce sunt deschise. E-mailurile de phishing ale TA505 utilizează atașamente cu un redirecționator HTML pentru livrarea fișierelor Excel malițioase, conform cercetării efectuate de TrendMicro în iulie 2019. Recent, o nouă campanie de e-mail de phishing care utilizează aceeași strategie de atac a fost descoperită de echipa Microsoft Security Intelligence. În această postare pe blog, vom arunca o privire la fișierele utilizate în atac și vom explora modul în care tehnologia OPSWAT's Deep Content Disarm and Reconstruction (Deep CDR ) poate ajuta la prevenirea atacurilor similare.
Vectorii de atac
Fluxul de atac folosit este foarte comun.:
- Victimei i se trimite un e-mail de phishing cu un atașament HTML.
- Atunci când victima deschide fișierul HTML, va descărca automat un fișier Excel macro malițios.
- Acest fișier Excel aruncă o sarcină utilă malițioasă atunci când victima îl deschide
Fișierele HTML și Excel au fost examinate pe metadefender.opswat.com la începutul lunii februarie 2020.
Fișierul HTML a fost identificat ca fiind o pagină Cloudflare falsă cu un JavaScript relativ simplu pentru a redirecționa utilizatorii către o pagină de descărcare după 5 secunde.
Fișierul Excel conține mai multe macro-uri ofuscate.
Atunci când victima deschide fișierul și activează Macro, apare o interfață falsă Windows Process UI, care este, de fapt, un formular Visual Basic, ceea ce face victima să creadă că Excel configurează ceva.
În fundal, macroul rulează și lasă câteva fișiere pe sistemul victimei, cu următoarele căi de acces: C:\Users\user\AppData\Local\Temp\copy13.xlsx, C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates\sample_.dll (RAT).
Cum vă poate proteja Deep CDR de atacul de phishing?
Dacă fișierul HTML este verificat de Deep CDR, toți vectorii de risc vor fi eliminați, inclusiv Javascript. După acest proces, utilizatorul deschide fișierul sanitizat fără redirecționarea menționată. Ca urmare, nici fișierul Excel malițios nu poate fi descărcat.
În plus, campaniile de phishing ale TA505 au folosit trimiterea fișierului Excel malițios ca atașament de e-mail direct victimelor sale. Din nou, Deep CDR este eficient în acest caz. Acesta elimină toate macro-urile, OLE și, de asemenea, dezinfectează recursiv toate imaginile din fișier.
Concluzie
Se observă că TA505 este foarte activ în campaniile de phishing prin e-mail din zilele noastre. Diferite tipuri sofisticate de malware au fost utilizate pentru a crește șansele de a intra în sistemul dumneavoastră. Întreprinderile sunt sfătuite să își îmbunătățească instruirea angajaților cu privire la phishing, precum și sistemul lor de securitate. MetaDefender Core valorificând 6 tehnologii de securitate cibernetică de vârf din industrie, în combinație cu MetaDefender Email Security, oferă organizației dvs. cea mai completă protecție. MetaDefenderTehnologia 's Multiscanning utilizează puterea a mai mult de 35 de motoare AV comerciale pentru a detecta aproape 100% malware cunoscut, în timp ce Deep CDR împotriva atacurilor de tip zero-day ale amenințărilor necunoscute. În plus, ca un strat esențial de protecție PII, Proactive DLP împiedică datele sensibile din fișiere și e-mailuri să intre sau să iasă din organizația dumneavoastră.
Programați o întâlnire cu un expert tehnic OPSWAT pentru a afla cum să vă protejați organizația împotriva amenințărilor cibernetice avansate.
Referință:
