Pelaku ancaman yang sebelumnya tidak dikenal telah menargetkan perusahaan di AS dan Jerman dengan malware pesanan khusus yang dirancang untuk mencuri informasi rahasia.
Proofpoint, perusahaan keamanan perusahaan, yang melacak klaster aktivitas dengan nama Screentime, mengatakan grup tersebut, yang dijuluki TA866, kemungkinan besar termotivasi secara finansial.
“TA866 adalah aktor terorganisir yang mampu melakukan serangan yang dipikirkan dengan baik dalam skala besar berdasarkan ketersediaan alat khusus mereka; kemampuan dan koneksi untuk membeli alat dan layanan dari vendor lain; dan meningkatkan volume aktivitas,” penilaian perusahaan.
Kampanye yang dipasang oleh musuh dikatakan telah dimulai sekitar 3 Oktober 2022, dengan serangan diluncurkan melalui email yang berisi lampiran atau URL jebakan yang mengarah ke malware. Lampiran berkisar dari file Microsoft Publisher bertali makro hingga PDF dengan URL yang mengarah ke file JavaScript.
Gangguan juga telah memanfaatkan pembajakan percakapan untuk memikat penerima agar mengklik URL yang tampaknya tidak berbahaya yang memulai rantai serangan multi-langkah.
Terlepas dari metode yang digunakan, menjalankan file JavaScript yang diunduh mengarah ke penginstal MSI yang membongkar VBScript yang diberi nama WasabiSeed, yang berfungsi sebagai alat untuk mengambil malware tahap berikutnya dari server jarak jauh.
Salah satu payload yang diunduh oleh WasabiSeed adalah Screenshotter, sebuah utilitas yang bertugas mengambil screenshot desktop korban secara berkala dan mengirimkan informasi tersebut kembali ke server command-and-control (C2).
“Ini sangat membantu pelaku ancaman selama tahap pengintaian dan pembuatan profil korban,” kata peneliti Proofpoint Axel F.
Selengkapnya: The Hacker News
