Những kẻ lừa đảo đã bị phát hiện gửi các email có chủ đề trát hầu tòa giả mạo giống như chúng đến từ Bộ Tư pháp Vương quốc Anh và cố gắng lây nhiễm các mục tiêu của chúng bằng các tải trọng phần mềm độc hại thông tin của Kẻ trộm thông tin.
Chiến dịch malspam này chủ yếu nhắm vào các công ty bán lẻ và bảo hiểm, với những kẻ tấn công đang cố lừa các nạn nhân tiềm năng của họ để mở một liên kết nhúng chỉ vào chuỗi chuyển hướng dẫn đến một tài liệu Word với các nhà nghiên cứu Cofense độc hại đã phát hiện ra chiến dịch được tìm thấy.
Một cảnh báo rằng các mục tiêu phải tuân thủ thông báo trong vòng hai tuần được sử dụng trong các email lừa đảo để thêm cảm giác cấp bách sẽ lôi kéo người đọc email nhấp vào liên kết để tìm thêm thông tin về lý do tại sao chúng bị "trát hầu tòa".
"Bạn có 14 ngày để cung cấp thông báo. Nếu bạn không tự chuẩn bị, tòa án sẽ diễn ra mà không có bạn", email lừa đảo nói.
Các nhà điều hành của chiến dịch này cũng yêu cầu các nạn nhân tiềm năng của họ "chuẩn bị tất cả các tài liệu cần thiết được liệt kê trong tệp đính kèm" để tối đa hóa khuyến khích người dùng nhấp vào liên kết độc hại.
Khi họ nhấp vào liên kết, các mục tiêu được gửi qua chuỗi chuyển hướng nhiều bước được sử dụng để giảm tải trọng đánh cắp thông tin cuối cùng.
Do đó, liên kết trước tiên sẽ mở tài liệu Google Docs có chứa liên kết chuyển hướng đến tài nguyên OneDrive để tải xuống tài liệu Word "được sử dụng làm trình tải xuống giai đoạn đầu tiên để thực hiện một mẫu Kẻ săn mồi".
"Macro, sau khi thực thi, tải xuống phần mềm độc hại thông qua PowerShell, đây là một mẫu của kẻ đánh cắp thông tin Kẻ săn mồi," Các nhà nghiên cứu của Cofense cũng phát hiện ra.
Sau khi lây nhiễm máy, thông tin này đánh cắp bắt đầu thu hoạch thông tin từ các thư mục khác nhau bao gồm các tài liệu và tiền điện tử .dat và .wallet Ethereum, Multibit, Electrum, Armory, Bytecoin và các tệp Bitcoin.
Phần mềm độc hại cũng thu thập cookie từ một danh sách rộng rãi các trình duyệt web bao gồm Chrome, Firefox và một danh sách dài các trình duyệt ít được biết đến, thông tin đăng nhập tài khoản cho các ứng dụng như Filezilla, WinFTP, Steam và Discord, cũng như ảnh chụp màn hình.
Tất cả dữ liệu sau đó được hợp nhất, đóng gói và gửi đến máy chủ chỉ huy và kiểm soát (C2) của phần mềm độc hại thông qua các yêu cầu POST HTTP, cùng với dữ liệu vân tay và cấu hình mạng.
"Một khi thông tin được thu thập và mẫu đã thực hiện thành công dữ liệu cho C2, nhị phân sau đó sẽ dọn sạch các phần của nhiễm trùng và tự chấm dứt", báo cáo cũng cho biết.
"Quá trình dọn sạch nhiễm trùng này khiến việc điều tra pháp y điểm cuối không tận dụng nhật ký sự kiện dài dòng và hệ thống phát hiện điểm cuối khó khăn hơn nhiều."
Một danh sách đầy đủ các chỉ số thỏa hiệp (IOC) bao gồm địa chỉ IP và tên miền cho máy chủ và chuyển hướng C2, cũng như URL cho các tài liệu được sử dụng làm mồi trong chiến dịch này có sẵn ở cuối báo cáo Cofense.
