Una nuova catena di attacchi malware è stata identificata da Proofpoint che, da ottobre 2022 a gennaio 2023, ha iniziato a monitorare TA866, un nuovo attore di minacce e osservato una serie di attività in evoluzione a sfondo finanziario, definita “Screentime“. Gli attacchi iniziano con un’email contenente un allegato o un URL dannoso e con il suo set di strumenti personalizzati, tra cui WasabiSeed e Screenshotter, TA866 analizza l’attività delle vittime attraverso gli screenshot prima di installare un bot e uno stealer.
Chi è l’autore di questi attacchi malware?
“TA866 è un attore di minacce dal comportamento interessante, che utilizza nelle proprie campagne strumenti di base e personalizzati. Trascorre tempo a cercare di capire se un obiettivo è degno di ulteriori payload utilizzando Screenshotter per scattare foto dello schermo dell’utente e le esamina manualmente prima di decidere se distribuire malware aggiuntivo. È evidente che un utente deve raggiungere un determinato valore prima di essere considerato degno di un altro payload. Le attività recenti sembrano avere motivazioni finanziarie, ma alcune storiche, che si sovrappongono a colui che chiamiamo TA866, suggeriscono anche obiettivi di spionaggio”, sottolineano i ricercatori di Proofpoint.
Proofpoint continua a monitorare le attività
Proofpoint sta tracciando questa attività come effettuata dall’attore di minacce TA866, ritenuto un malintenzionato organizzato in grado di eseguire attacchi malware ben congegnati su scala, grazie alla disponibilità di strumenti personalizzati, alle connessioni e alla capacità di acquistare strumenti e servizi da altri fornitori e al volume crescente di attività.
