Киберпреступная группа TA505 снова изменила свою тактику, теперь она участвует в новых фишинговых кампаниях, используя HTML-редирект для доставки документов Excel, содержащих вредоносные программы.
После короткого периода бездействия эта известная группа возобновила свою деятельность. На этот раз их схема направлена на то, чтобы пользователи установили на свой компьютер троян GraceWire, крадущий информацию – об этом сообщают эксперты из группы Microsoft Security Intelligence. Ранее TA505 занималась распространением банковских троянов Dridex и TrickBot, а также вируса-шифровальщика Locky. Её ассоциируют с российской кибергруппировкой Evil Corp.
Согласно сведениям от Microsoft, получатели фишинговых электронных писем, будут перенаправлены через HTML-редирект и, в конечном итоге загрузят Dudear - файл Excel, который через макросы установит троян GraceWire. Это новая тактика TA505 - ранее вредоносное ПО просто распространялось при переходе по ссылке.
Таким образом, Dudear впервые распространяется через HTML-редирект. Кроме того, злоумышленники используют службу отслеживания IP-адресов для отслеживания компьютеров, которые загружают вредоносный файл Excel.
По сведениям наблюдателей, деятельностью TA505 в декабре 2019 - январе 2020 года были затронуты, в первую очередь, Европа и США. Жертвами распространяемого трояна стали одна из американских электротехнических компаний, государственная сеть правительства США, один из 25 крупнейших банков в мире, некоторые образовательные, финансовые и страховые учреждения.