Investigadores de seguridad han descubierto un nuevo grupo de amenazas con motivaciones financieras que utiliza herramientas personalizadas para identificar y perseguir objetivos de alto valor para el robo de información.
Nombrado TA866 por Proofpoint, el grupo puede haber estado activo desde 2019, aunque la actividad más reciente comenzó alrededor de octubre de 2022.
Afirmó que el grupo parece estar motivado financieramente, aunque podría haber cierta superposición con la actividad del estado nacional.
Proofpoint apodó a la nueva campaña, que estaba en curso en enero de 2023, como “Screentime” debido a las tácticas utilizadas por el grupo para reducir un gran número de víctimas potenciales a los objetivos más lucrativos.
En noviembre de 2022, TA866 amplió masivamente su operación para enviar miles o decenas de miles de correos electrónicos de phishing de dos a cuatro veces por semana. En solo dos días de enero, más de 1.000 organizaciones estadounidenses y alemanas fueron atacadas, según Proofpoint.
Los correos electrónicos parecían utilizar el secuestro de hilos, un señuelo de ‘comprueba mi presentación’, y contenían URL maliciosas que iniciaban una cadena de ataque de varios pasos.
Si las víctimas mordían el anzuelo, se descargaba un instalador personalizado conocido como WasabiSeed que instalaba una segunda pieza de malware a medida llamada Screenshotter.
Si el atacante está convencido de que la víctima representa una oportunidad para ganar dinero, descargará más herramientas de post-explotación, incluyendo componentes del bot AHK que realizan el reconocimiento del dominio Active Directory del objetivo.
A continuación, el atacante carga el Rhadamanthys Stealer, un malware comercial diseñado para robar monederos de criptomonedas, cuentas de Steam, contraseñas de navegadores, clientes FTP, clientes de chat, clientes de correo electrónico, configuraciones de VPN, cookies y archivos.
Se dice que el horario de trabajo del grupo coincide con el de un actor de amenazas ruso.