Link malevoli negli allegati PDF

I ricercatori di Proofpoint hanno scoperto una nuova attività da parte del gruppo TA450, un attore di minacce allineato all’Iran, noto anche come MuddyWater, Mango Sandstorm e Static Kitten, in cui ha utilizzato un’esca di social engineering a pagamento per colpire dipendenti israeliani di grandi organizzazioni multinazionali. In particolare, TA450 ha inviato email con allegati PDF contenenti link malevoli. Sebbene questo metodo non sia del tutto estraneo a TA450, più di recente questo attore si era affidato a link pericolosi inclusi direttamente nel corpo dei messaggi email, invece di aggiungere questo ulteriore passaggio.
I ricercatori di Proofpoint hanno notato che gli stessi obiettivi stavano ricevendo una serie di email di phishing con allegati PDF. Questi allegati contenevano link leggermente diversi che reindirizzavano a vari siti di condivisione file, tra cui Egnyte, Onehub, Sync e TeraBox. Inoltre, le email inviate in questa campagna hanno utilizzato un account salary[@]<compromisedorg>co[.]il, che è in linea con l’oggetto a tema retributivo

Come si può notare dalle figure 1 e 2 in basso, quando veniva aperto l’allegato e si cliccava sul link, veniva scaricato un archivio compresso in formato ZIP contenente un MSI che installava un software di amministrazione remota denominato AteraAgent.

Sebbene questa campagna condotta dal gruppo TA450 non sia il primo caso osservato in cui utilizza allegati con link malevoli come parte della catena di attacco, è la prima volta che i ricercatori di Proofpoint hanno osservato TA450 tentare di distribuire un URL pericoloso in un allegato PDF invece di collegare direttamente il file in una email.

Per approfondimenti, visitate questo link.

*illustrazione articolo progettata da  Freepik