I ricercatori di Proofpoint hanno rilevato nuove campagne malware gestite dal gruppo TA505, noto per essere motivato da obiettivi economici.
Le prime campagne di TA505 osservate da Proofpoint nel settembre 2021 mostravano un volume relativamente ridotto, con diverse migliaia di email a invio, e distribuivano allegati Excel pericolosi.
Tra fine settembre e inizio ottobre 2021 la situazione è cambiata, e TA505 ha iniziato a inviare volumi di email più elevati, da decine a centinaia di migliaia, a più settori. Inoltre, ha iniziato a sfruttare campagne email basate sia su URL che su allegati, diversificando le aree target principali, passate dal Nord America ai paesi di lingua tedesca, tra cui Germania e Austria.
Molte delle campagne, specialmente quelle di grande volume, hanno forti somiglianze con la storica attività di TA505 del 2019 e 2020. I punti in comune includono schemi simili di denominazione dei domini, esche email ed Excel e la distribuzione del RAT FlawedGrace. Presentano anche alcuni nuovi sviluppi degni di nota, come le fasi del loader intermedio riorganizzate con script in Rebol e KiXtart, utilizzati in sostituzione del downloader Get2, in precedenza molto noto. I nuovi downloader eseguono funzionalità simili di ricognizione e di trazione nelle fasi successive. Infine, c’è una versione aggiornata di FlawedGrace.
