Tác nhân đe dọa được theo dõi là TA558 đã được quan sát thấy tận dụng steganography như một kỹ thuật xáo trộn để cung cấp một loạt các phần mềm độc hại như Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger và XWorm, trong số những người khác.
"Nhóm đã sử dụng rộng rãi steganography bằng cách gửi VBS, mã PowerShell, cũng như các tài liệu RTF có khai thác nhúng, bên trong hình ảnh và tệp văn bản", công ty an ninh mạng Nga Positive Technologies cho biết trong một báo cáo hôm thứ Hai.
Chiến dịch đã được đặt tên mã là SteganoAmor vì sự phụ thuộc vào steganography và lựa chọn tên tệp như greatloverstory.vbs và easytolove.vbs.
Phần lớn các cuộc tấn công nhắm vào các lĩnh vực công nghiệp, dịch vụ, công cộng, điện và xây dựng ở các nước Mỹ Latinh, mặc dù các công ty đặt tại Nga, Romania và Thổ Nhĩ Kỳ cũng đã bị loại bỏ.
Sự phát triển này diễn ra khi TA558 cũng đã được phát hiện triển khai Venom RAT thông qua các cuộc tấn công lừa đảo nhằm vào các doanh nghiệp ở Tây Ban Nha, Mexico, Hoa Kỳ, Colombia, Bồ Đào Nha, Brazil, Cộng hòa Dominican và Argentina.
Tất cả bắt đầu với một email lừa đảo có chứa tệp đính kèm Microsoft Excel email bị mắc kẹt khai thác lỗ hổng bảo mật hiện đã được vá trong Equation Editor (CVE-2017-11882) để tải xuống Visual Basic Script, lần lượt, tìm nạp tải trọng giai đoạn tiếp theo từ dán [.] Ee.
Mã độc hại bị xáo trộn đảm nhận việc tải xuống hai hình ảnh từ một URL bên ngoài được nhúng với thành phần được mã hóa Base64 để cuối cùng truy xuất và thực thi phần mềm độc hại Agent Tesla trên máy chủ bị xâm nhập.
Ngoài Đặc vụ Tesla, các biến thể khác của chuỗi tấn công đã dẫn đến một loạt các phần mềm độc hại như FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger và XWorm, được thiết kế để truy cập từ xa, đánh cắp dữ liệu và phân phối tải trọng thứ cấp.
Tiết lộ được đưa ra trong bối cảnh một loạt các cuộc tấn công lừa đảo nhắm vào các tổ chức chính phủ ở Nga, Belarus, Kazakhstan, Uzbekistan, Kyrgyzstan, Tajikistan và Armenia với một phần mềm độc hại có tên LazyStealer để thu thập thông tin đăng nhập từ Google Chrome.
Positive Technologies đang theo dõi cụm hoạt động dưới tên Lazy Koala liên quan đến tên của người dùng (joekoala), người được cho là kiểm soát các bot Telegram nhận dữ liệu bị đánh cắp.
Điều đó nói rằng, địa lý nạn nhân và các tạo tác phần mềm độc hại cho thấy các liên kết tiềm năng với một nhóm hack khác được theo dõi bởi Cisco Talos dưới tên YoroTrooper (hay còn gọi là SturgeonPhisher).
"Công cụ chính của nhóm là một kẻ đánh cắp nguyên thủy, có khả năng bảo vệ giúp tránh bị phát hiện, làm chậm phân tích, lấy tất cả dữ liệu bị đánh cắp và gửi nó đến Telegram, vốn đã trở nên phổ biến với các tác nhân độc hại trong năm", nhà nghiên cứu bảo mật Vladislav Lunin cho biết.
Những phát hiện này cũng theo sau một làn sóng các chiến dịch kỹ thuật xã hội được thiết kế để truyền bá các họ phần mềm độc hại như FatalRAT và SolarMarker.