【安全资讯】TA575组织使用“鱿鱼游戏”相关诱饵传播Dridex 恶意软件

引言

《鱿鱼游戏》是由Netflix视频平台出品的惊悚悬疑电视剧，讲述了数百名为生活所困的人，为了456亿韩元的奖金参加生死逃杀游戏的故事。 研究人员发现，TA575组织正使用鱿鱼游戏相关诱饵，分发 Dridex 恶意软件。TA575 是 Dridex 附属机构，通过恶意 URL、Microsoft Office 附件和受密码保护的文件分发恶意软件。

简况

攻击者声称是与Netflix相关的组织，使用电子邮件诱使目标抢先观看新一季的鱿鱼游戏。 2021 年 10 月 27 日，研究人员观察到数以千计的针对美国用户的电子邮件，这些电子邮件使用了以下主题：

• 鱿鱼游戏回归，抢先看最新季。
• 邀请客户访问新的季节。
• 鱿鱼游戏最新季广告选角预告。
• 鱿鱼游戏最新季招募才艺演员时间表。

电子邮件诱饵如下图：

这些电子邮件诱导受害者填写附加文件，以尽早访问鱿鱼游戏的最新季，或填写报名表以成为配角。附件是带有宏的 Excel 文档，如果启用，将从 Discord URL 下载 Dridex 银行木马附属 ID“22203”。Dridex 是一种由多个附属机构分发的多产银行木马，可以窃取数据和安装勒索软件。

TA575 是Dridex的附属机构。该组织通过恶意 URL、Microsoft Office 附件和受密码保护的文件分发恶意软件。TA575 每个活动会发送数千封电子邮件，影响数百个组织。TA575 还使用 Discord 内容交付网络 (CDN) 来托管和分发 Dridex。Discord 是一个具有消费者和企业用途的通信平台，越来越多的网络犯罪分子利用该平台充当恶意软件托管服务。TA575发布的诱饵主题通常包括发票和付款，偶尔也会包括热门新闻、事件和文化参考。

总结

攻击者将鱿鱼游戏视为流行的诱饵主题，是由于鱿鱼游戏是Netflix有史以来最受欢迎的电视剧集，因此对该诱饵感兴趣并能点击恶意链接的潜在受害者人数高于一般的诱饵主题。研究人员认为，鱿鱼游戏最新一季的回归将吸引更多用户点击传播的恶意邮件，因此受到感染。