Các nhà nghiên cứu tại Proofpoint đã xác định rằng trò lừa đảo này nhắm đến các tổ chức ở Canada, Pháp, Đức, Tây Ban Nha, Ý, Vương quốc Anh và Mỹ, với hàng nghìn tin nhắn được gửi trong vòng vài tuần trên quy mô toàn cầu.
Các tin nhắn có nội dung người dùng cần nâng cấp lên phiên bản mới nhất của Google Chrome hoặc Internet Explorer, nhưng lại chứa liên kết đến các trang web độc hại.
Proofpoint xác định cuộc tấn công này là tác phẩm của nhóm TA569, còn được gọi là SocGholish, vì các tin nhắn bao gồm những liên kết trang web bị xâm nhập chứa HTML SocGholish.
Những kẻ thực hiện việc này có thể phân tích vị trí địa lý, hệ điều hành và trình duyệt người nhận sử dụng và nếu được coi là nạn nhân phù hợp thì tìm cách thuyết phục họ nhấn vào liên kết trong thông báo email.
Tuy nhiên, thay vì cập nhật Google Chrome, liên kết này sẽ tải xuống một số mã độc. Phân tích của Proofpoint đã phát hiện ra một Trojan ngân hàng (Chthonic) là một biến thể của Trojan ngân hàng Zeus khét tiếng, cũng như phần mềm điều khiển từ xa (NetSupport) có thể cho tin tặc truy cập từ xa vào các hệ thống bị xâm nhập.
Cuộc tấn công nhắm vào một số doanh nghiệp lớn trên nhiều ngành, bao gồm giáo dục, chính phủ tiểu bang, sản xuất và nhiều doanh nghiệp khác.
Proofpoint viết trong một bài đăng trên blog nêu rõ rằng: “Mặc dù kỹ thuật này không mới, nhưng vẫn hiệu quả vì khai thác mong muốn của người nhận với suy nghĩ thực hiện an toàn bảo mật. Giữ phần mềm cập nhật là một lời khuyên bảo mật phổ biến và những kẻ tấn công sử dụng điều này cho lợi ích của họ.”