I ricercatori di Proofpoint hanno identificato una nuova campagna di TA544 rivolta agli utenti italiani, che distribuisce il malware Ursnif. Questo gruppo non è nuovo a Ursnif e, spinto da motivazioni finanziarie, ha già distribuito il malware bancario in campagne ad alto volume per diversi anni.
Tuttavia, a fine settembre, Proofpoint ha osservato nuove attività con esche molto diverse, che sfruttano il tema sentimentale. L’attore ha utilizzato messaggi in lingua italiana, apparentemente redatti da una donna in cerca di un partner maschile, con un messaggio molto più lungo rispetto alle consuete esche utilizzate, solitamente legate ad argomenti aziendali, come fatture, pagamenti o altro.
“TA544 è un attore di minacce cyber che distribuisce soprattutto malware bancario, rivolgendosi quasi esclusivamente ad aziende italiane. E secondo i dati di Proofpoint sulle minacce rivolte specificamente all’Italia, il malware più osservato è Ursnif,” sottolinea Serena Larson, senior threat analyst di Proofpoint. “Storicamente TA544 ha utilizzato contenuti rilevanti per il business; quindi, l’uso di un’esca a tema sentimentale è molto insolito. In questa tipologia di truffe gli attori delle minacce mirano a sviluppare un coinvolgimento emotivo da parte della vittima, rendendola più suscettibile a cadere nella trappola dei loro sforzi di social engineering e compiere l’azione desiderata, al fine di consentire al criminale di accedere a dati o informazioni finanziarie.”
