عامل تهدیدی که به ترویج تروجان بانکی Dridex و باجافزار Locky شناخته شده، در ماه ژوئن استفاده از یک بارگیر تروجان جدید را آغاز کرده است. این عامل تهدید با نام TA505 که با انگیزهی مالی فعالیت میکند و به زبان روسی صحبت میکند، در طول زمان ثابت کرده است که با تروجانهای بانکی مانند Shifu و Dridex، باجافزار و دربهای پشتی مختلف ازجمله ServHelper و FlawedAmmyy در ارتباط است.
ماه گذشته، پژوهشگران امنیتی Proofpoint متوجه شدند که TA505 از یک بارگیر تروجان جدید برای توزیع تروجان دسترسی از راه دور کامل FlawedAmmyy استفاده میکند. این بارگیر که AndroMut نامیده میشود، شباهتهای کدی و رفتاری با Andromeda، یک خانوادهی بدافزاری قدیمی، دارد. AndroMut در دو پویش مجزا مشاهده شده است که هردوی آنها از پیوستهای HTML یا HTM پیوند داده شده به یک فایل ورد یا اکسل حاوی ماکروهای مخرب استفاده میکنند تا یک دستور Msiexec را اجرا کنند و AndroMut یا FlawedAmmyy را بارگیری و اجرا میکنند.
پویش اول کاربران کرهی جنوبی را هدف قرار میدهد، درحالیکه پویش دوم گیرندگانی را در مؤسسات مالی سنگاپور، امارات متحدهی عربی و امریکا هدف قرار میدهد. AndroMut که به زبان c++ نوشته شده است، بسیاری از فراخوانیهای Windows API خود را در هنگام اجرا توسط هش انجام میدهد و از روشهای ضد تحلیل متعددی استفاده میکند. همچنین برای پایداری نیز یک وظیفه را برنامهریزی میکند که فایل LNK ایجاد شده در سطل آشغال را اجرا کند و یا از روش اجرای رجیستری استفاده میکند. Proofpoint نتیجهگیری میکند که با توجه به الگوی رفتاری معمول TA505، این نسخهی جدید سال ۲۰۱۹ میلادی، بانکهای تجاری امریکا، امارات متحدهی عربی و سنگاپور را بهعنوان اهداف اصلی خود انتخاب کرده است.