Un nuovo allarme malware è stato lanciato dal Threat Research Team di Proofpoint ha identificato una campagna malware rivolta contro le aziende italiane, sfruttando il nome dell’Agenzia delle Entrate. Lanciata il 14 febbraio, è stata attribuita al gruppo TA544, con l’obiettivo di far scaricare il malware Danabot tramite un URL malevolo.
Se aperto da un IP italiano, l’URL reindirizza al download di un file JavaScript che, se eseguito, scarica una DLL, eseguendola con l’esportazione personalizzata “enter” per lanciare DanaBot.
DanaBot è un malware modulare che può essere utilizzato per la raccolta di informazioni, il monitoraggio remoto e per stabilire persistenza all’interno dell’azienda presa di mira. Non viene osservato spesso nelle campagne email, quindi il suo utilizzo da parte di TA544 – per la prima volta in assoluto – è degno di nota.
DanaBot era stato utilizzato da un altro gruppo, TA578, in una campagna email che portava al malware Latrodectus a dicembre 2023, mentre in precedenza, l’ultimo rilevamento risaliva al luglio 2022. Due campagne recenti che utilizzano questo malware potrebbero significare che lo vedremo di più nei dati delle minacce via email, tuttavia potrebbe essere solo una svolta temporanea prima di tornare ad altri payload.
