TACTICAL#OCTOPUS
A Securonix Threat Research egy folyamatban lévő, célzott adathalász kampányt azonosított, amelyet a kutatók TACTICAL#OCTOPUS néven követnek, amely látszólag valós adózási űrlapokat és szerződéseket használ az Egyesült Államokban. A megfigyelt csalogató dokumentumok egy része munkavállalói az adóbevallásokkal kapcsolatos, pontosan az adóbevallási szezonra időzítve.
A csalogató dokumentummelléklet mögött azonban egy érdekes rosszindulatú program rejtőzik, amely kijátszva víruskeresőket, többrétegű kódokat és több C2 csatornát tartalmaz. A támadás adózással kapcsolatos adathalász e-mailekkel kezdődik. Az e-mail egy jelszóval védett zip fájlt tartalmaz, ahol a jelszó az e-mail törzsében található. A mellékletek egy általános elnevezési konvenciót követnek, adójellegű nyelvezetet használva, például TitleContractDocs.zip vagy JRCLIENTCOPY3122.zip. A .zip fájl egy képfájlt (általában .png fájlt) és egy parancsikont (.lnk) tartalmaz. A kód végrehajtása akkor kezdődik, amikor a felhasználó duplán kattint a parancsikonfájlra.
A Securonix Threat Research megadta az azonosításhoz szükséges mutatókat.