En septembre dernier, l’émergence de campagnes d’emails frauduleuses menées par TA505 ont été observées pour tenter de livrer et installer Get2, un nouveau « downloader ». Get2 a à son tour été observé en train de télécharger dans un premier temps FlawedGrace, FlawedAmmyyy et Snatch comme charges utiles secondaires puis SDBbot, un nouveau RAT.

Dans son dernier Threat Blog, Proofpoint détaille les tactiques et procédures (TTPs) associées à ces dernières campagnes et fournit une analyse détaillée du « downloader » Get2 et du RAT SDBbo.

Depuis plusieurs années, TA505 a contribué à façonner le paysage de la menace, notamment en novembre 2018 avec la distribution des malware nommés ServHelper et FlawedGrace dans plusieurs campagnes d’emails malveillants, et plus récemment cette année avec le logiciel malveillant AndroMut.

TA505 continue son ascension en innovant sur de nombreux autres aspects : "TA505 est un acteur incroyablement prolifique et possède un large arsenal d’outils malveillants. Dans ces dernières campagnes, nous pouvons voir qu’il utilise des volumes massifs associés à ses campagnes, et qu’il s’adapte aux pays ciblés en utilisant les langues locales aussi bien dans les messages malveillants que dans les documents en pièces jointes. Les institutions financières, en particulier, devraient continuer à être vigilantes, mais d’autres industries à travers le monde doivent également prendre conscience de TA505 et de la menace qu’il représente", explique Chris Dawson, responsable Threat Intelligence chez Proofpoint.

Ces nouveaux éléments s’inscrivent dans la continuité des recherches Proofpoint menées sur ce sujet. Depuis 2018, de nombreux acteurs de la menace distribuent de plus en plus de « downloaders », de « backdoors », de vols d’identifiants, de chevaux de Troie d’accès à distance, de RATS, et plus encore.