Группировка TA575 отправляет тысячи электронных писем сотням организаций.

Специалисты компании Proofpoint обнаружили вредоносную кампанию, в ходе которой киберпреступники из группировки TA575 распространяют вредоносное ПО Dridex с помощью писем на тему популярного сериала Netflix «Игра в кальмара».

В письмах содержатся такие сообщения, как «Игра в кальмара возвращается, смотрите новый сезон раньше всех», «Приглашения клиента для доступа к новому сезону», «Предварительный просмотр рекламных роликов нового сезона Игры в кальмара» и пр.

Эксперты выявили тысячи электронных писем с использованием приманок, предназначенных для различных отраслей в США. Некоторые электронные письма пытаются заманить жертв, предлагая роль в сериале, если пользователь загрузит и заполнит прикрепленный документ.

«Вложения представляют собой документы Microsoft Excel с макросами, которые при включении загружают партнерский идентификатор банковского трояна Dridex 22203 из URL-адресов Discord», — пояснили эксперты.

Dridex — банковский троян, используемый для хищения денежных средств непосредственно с банковского счета жертвы. Вредонос также используется для сбора информации или в роли загрузчика вредоносных программ, в том числе вымогателей.

«TA575 отправляет в среднем тысячи электронных писем на каждую кампанию, затрагивающую сотни организаций. TA575 также использует сеть доставки контента Discord (CDN) для размещения и распространения Dridex», — отметили специалисты.

Злоумышленники активно атакуют пользователей через мобильные каналы, такие как SMS, платформы социальных сетей, сторонние приложения для обмена сообщениями, игры и даже приложения для знакомств.

Источник: securitylab