Tornano i cybercriminali di TA453 con un nuovo attacco malware per Mac

Proofpoint ha condotto una ricerca sul nuovo attacco del gruppo iraniano di cybercriminali TA453, evidenziando infezioni LNK e malware per Mac. Il gruppo sta diffondendo un nuovo attacco dalla metà di maggio 2023, attraverso una conversazione esca benigna.

Nuovo attacco malware di TA453: cosa ha scoperto Proofpoint

Il gruppo cybercriminale TA453, ha continuato ad adattare e migliorare i propri malware, diffondendo nuovi tipi di file ed espandendosi ad altri sistemi operativi. Di recente, Proofpoint ha condotto un’indagine con la collaborazione dei principali partner della community di protezione per introdurre il lavoro di TA453. Durante la ricerca, ha identificato un attacco mirato ai Mac, oltre a catene di infezione LNK. L’obiettivo resta lo stesso: introdursi abusivamente e in modo non autorizzato negli ambienti target.

Proteggi i tuoi dati con Bitdefender, Leader in Cybersecurity

Come agisce il nuovo malware

Noto anche come Charming Kitten, APT42, Mint Sandstorm, Yellow Garuda, il gruppo iraniano TA453 ha iniziato la nuova campagna di attacchi a metà maggio 2023. Attraverso una conversazione esca benigna, i cybercriminali si fingevano un senior fellow del Royal United Services Institute (RUSI). L’e-mail chiedeva un riscontro sul progetto “Iran in the Global Security Context”, chiedendo il permesso di inviare una bozza per la revisione. Il messaggio includeva anche riferimenti alla partecipazione di noti esperti di sicurezza nucleare, che tra l’altro TA453 aveva precedentemente impersonato.

Per distribuire una catena di infezione innovativa, TA453 ha utilizzato una serie di cloud hosting provider in grado di implementare backdoor PowerShell GorjolEcho. Ha quindi effettuato il porting del proprio malware e lanciato una catena di infezione per Apple, che Proofpoint ha definito “NokNok”.

ESET Smart Security Premium 2023 | Antivirus Premium | 1...

• ESET Smart Security Premium è una tecnologia antivirus multilivello di categoria superiore che protegge i tuoi...
• La tecnologia di LiveGuard è una funzionalità che intercetta, identifica e blocca minacce informatiche nuove, cioè...
• La tecnologia di Password Manager è una funzionalità che archivia e organizza le password, compila automaticamente i...

59,99 EUR

Acquista su Amazon

L’approccio benigno: una conversazione innocua

TA453 continua ad utilizzare messaggi benevoli per colpire esperti di affari e sicurezza nucleare in Medio Oriente. Dalle osservazioni recenti, pare che il gruppo prenda di mira soprattutto gli esperti che supportano alcune politiche estere. Per stabilire un rapporto di fiducia ed entrare in contatto con gli obiettivi, TA453 interpreta più figure di rilievo. Secondo Proofpoint, il gruppo avrebbe creato una serie di account ad hoc gestiti da un attore in grado di simulare esperti noti, escludendo l’ipotesi di account compromessi.

Dopo l’interazione benevola via e-mail, TA453 fornisce un link dannoso a un macro di Google Script, che reindirizza ad un URL di Dropbox contenente un file .rar. L’utilizzo del file .rar e di uno LNK per la distribuzione del malware è ciò che differenzia il nuovo attacco di TA453. Nonostante queste differenze, Proofpoint attribuisce con elevata sicurezza questa campagna al noto gruppo cybercriminale. L’ipotesi più acclamata è che TA453 operi a sostegno del Corpo delle Guardie Rivoluzionarie Islamiche (IRGC), in particolare dell’IRGC Intelligence Organization (IRGC-IO).

Offerta

McAfee Total Protection 2024, 5 dispositivi, Antivirus, VPN,...

• McAfee Total Protection offre protezione tutto in uno - Antivirus, sicurezza e protezione della privacy e...
• Verifica l’integrità della tua protezione online - Il nostro punteggio di protezione, unico nel settore, identifica...
• Monitora i tuoi dati personali sul Dark Web - In caso di esposizione dei tuoi dati, ti avvertiamo affinché tu possa...

59,99 EUR −67% 19,99 EUR

Acquista su Amazon

Rimani aggiornato seguendoci su Google News!

Seguici!