L'operazione di attacco SteganoAmor utilizza immagini per diffondere malware
È stato osservato che il gruppo di minacce noto come TA558 utilizza la steganografia, una tecnica per nascondere dati all'interno di immagini e file di testo, per distribuire vari tipi di malware tra cui Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger e XWorm.
La società russa di sicurezza informatica Positive Technologies ha riferito lunedì che TA558 utilizza ampiamente la steganografia, incorporando script e documenti dannosi all'interno di immagini e file di testo con nomi di file come Greatloverstory.vbs e easytolove.vbs. Questa campagna, denominata SteganoAmor, si rivolge principalmente a settori come quello industriale, dei servizi, pubblico, dell’energia elettrica e dell’edilizia nei paesi dell’America Latina, sebbene siano state colpite anche aziende in Russia, Romania e Turchia.
Altri attacchi collegati all'attore della minaccia TA558
È stato anche osservato che TA558 distribuisce Venom RAT attraverso attacchi di phishing rivolti ad aziende in Spagna, Messico, Stati Uniti, Colombia, Portogallo, Brasile, Repubblica Dominicana e Argentina. Questi attacchi in genere iniziano con e-mail di phishing contenenti allegati Microsoft Excel che sfruttano una falla di sicurezza corretta (CVE-2017-11882) per scaricare uno script Visual Basic, portando infine all'esecuzione del malware Agent Tesla. Oltre all'agente Tesla, la catena di attacco può anche fornire FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger e XWorm, tutti progettati per l'accesso remoto, il furto di dati e la consegna di payload secondario.
Per aumentare la credibilità ed eludere i gateway di posta elettronica, TA558 invia e-mail di phishing da server SMTP compromessi e utilizza server FTP infetti per archiviare i dati rubati. Nel frattempo, un altro gruppo, denominato Lazy Koala di Positive Technologies, ha preso di mira organizzazioni governative in Russia, Bielorussia, Kazakistan, Uzbekistan, Kirghizistan, Tagikistan e Armenia con un malware noto come LazyStealer, volto a raccogliere credenziali di Google Chrome.
Questa attività suggerisce potenziali collegamenti con un altro gruppo di hacker, YoroTrooper (noto anche come SturgeonPhisher), identificato da Cisco Talos, sulla base della geografia della vittima e degli artefatti del malware.
