Netflix-serien Squid Game har blivit ett globalt fenomen och på kort tid seglat upp som streamingtjänstens mest sedda originalserie.
Nu hakar även cyberkriminella på trenden.
Cybersäkerhetsföretaget Proofpoint har identifierat en aktör kallad TA575 som använder epostutskick med Squid Game-teman för att lura mottagare att ladda ned skadliga filer.
Ämnesraden i dessa mejl innehåller fraser som ”Squid Game är tillbaka, se den nya säsongen före alla andra”. Andra ämnesrader som upptäckts är bland annat:
- Invite for Customer to access the new sesason. [sic]
- Squid game new season commercials casting preview
- Squid game scheduled season commercials talent cast schedule
Nedan är ett exempel på hur ett av dessa mejlutskick ser ut:
Mejlen innehåller uppmaningar om att antingen fylla i en bifogad blankett för att få tillgång till den nya säsongen eller en blankett om att få bli statist. Den bifogade filen är ett Excel-dokument innehållandes macros, som laddar ned Dridex – en trojan med syfte att stjäla användardata och installera malware, däribland ransomware.
Den cyberkriminella gruppen TA575 har tidigare använt Dridex, och distribuerat skadlig programarvara via Microsoft Office-bilagor och lösenordsskyddade filer. TA575 använder Discord Content Delivery Network (CDN) som plattform för att distribuera Dridex. Discord, en kommunikationsplattform med konsument- och företagsanvändning, är en alltmer populär värdtjänst för skadlig programvara för cyberbrottslingar.
Vanligtvis skickar TA575 ut tusentals mejl per kampanj. Den Squid Game-relaterade attacken har primärt drabbat amerikanska mottagare.
