Proofpoint ha identificato una campagna malware lanciata dal gruppo criminale TA575 che distribuisce il malware Dridex utilizzando esche basate sulla serie Squid Game. I cybercriminali fingono di essere entità associate alla serie Netflix che sta spopolando in tutto il mondo, utilizzando email che invitano i destinatari a ottenere l’accesso anticipato a una nuova stagione o a diventare parte del cast dello show televisivo.
A partire dal 27 ottobre 2021, Proofpoint ha osservato migliaia di email indirizzate a tutti i settori, principalmente negli Stati Uniti, che utilizzano soggetti come:
- Squid Game è tornato, guarda la nuova stagione prima di chiunque altro.
- Invito ad accedere alla nuova stagione. [sic]
- Squid Game, ecco la nuova stagione, il casting per gli spot pubblicitari
- Squid Game, ecco la nuova stagione, partecipa al casting
I messaggi email chiedono alla vittima potenziale di compilare un documento allegato per ottenere accesso anticipato alla nuova stagione di Squid Game o un modulo per proporsi come parte del cast di comparse. Gli allegati sono documenti Excel con macro che, se abilitate, scaricheranno il trojan bancario Dridex affiliato id “22203” dagli URL di Discord. Dridex è un prolifico trojan bancario distribuito da più affiliati che può portare al furto di dati e all’installazione di malware successivi come ransomware.
TA575 è un gruppo cybercriminale affiliato a Dridex, monitorato da Proofpoint già dalla fine del 2020. Questo gruppo distribuisce malware tramite URL pericolosi, allegati di Microsoft Office e file protetti da password. In media, TA575 invia migliaia di email per campagna come quelle relative a Squid Game, con impatto su centinaia di organizzazioni. TA575 utilizza anche la content delivery network (CDN) Discord per ospitare e distribuire Dridex. Discord, una piattaforma di comunicazione con usi consumer e aziendali, è un servizio di hosting di malware sempre più popolare tra i criminali informatici.
I temi utilizzati da TA575 generalmente includono fatturazione e pagamenti, ma occasionalmente anche notizie popolari, eventi e riferimenti culturali. Attualmente, i cybercriminali si sono lanciati su Squid Game come esca popolare e tema malware. E con un motivo: dato che è la serie “di maggior successo di sempre” per Netflix, il bacino di potenziali vittime che potrebbero inavvertitamente interagire con contenuti dannosi associati ad essa è più alto di un tema di esca generale. TA575 punta sul fatto che l’invito a far parte della prossima stagione invoglierà gli utenti a interagire con il file Microsoft Excel malevolo.
