TA505 : nouvelle attaque DeepLink dans des documents PDF pour distribuer FlawedAmmyy RAT

1
105

Proofpoint fait aujourd’hui état d’une nouvelle campagne d’attaques et détaille l’abus de l’objet DeepLink dans les fichiers SettingContent-ms intégrés dans les documents PDF pour distribuer FlawedAmmyy RAT.

Les chercheurs attribuent cette campagne particulière à TA505, un acteur financièrement motivé responsable de Dridex, Locky et d’autres campagnes massives au cours des dernières années. Les cybercriminels, qu’ils soient bien établis comme TA505 ou plus récents dans le système, adoptent rapidement de nouvelles techniques de cyberattaques lorsque les auteurs de logiciels malveillants publient de nouvelles preuves de faisabilité comme DeepLink. Bien que toutes ces approches ne gagnent pas en popularité, d’autres peuvent devenir des moyens réguliers pour les acteurs de la menace d’exploiter le facteur humain.

Dans ce cas précis, TA505 agit en tant que précurseur en adaptant la technique DeepLink à une attaque basée sur PDF livrée à grande échelle.

Alors que l’abus de l’objet DeepLink dans les fichiers SettingContent-ms a déjà été communiqué concernant des documents Microsoft Word, il s’agit de la première occurrence documentée avec des fichiers incorporés dans des PDF. Les chercheurs de Proofpoint restent en veille et continuent de surveiller la façon dont les acteurs de la menace utilisent cette approche dans les semaines à venir.

Vous trouverez les détails de cette recherche dans un article que vous trouverez ici.

Les commentaires sont fermés.