Кампанията за фишинг не изпраща имейли до широка аудитория с надеждата да привлече няколко жертви, а обикновено се фокусира върху конкретна организация, за да принуди лица да предоставят поверителна информация като военни данни или търговия тайни. Изглежда, че имейлите произлизат от доверен източник и съдържат връзка към фалшива уеб страница, заразена със злонамерен софтуер, или файл, който изтегля злонамерен софтуер.
Препоръчани видеоклипове
Proofpoint казва, че информацията, използвана от TA530, може да бъде събрана от публични сайтове като собствения уебсайт на компанията, LinkedIn и т.н. Той е насочен към десетки хиляди лица, разположени в организации, базирани в Съединените щати, Обединеното кралство и Австралия. Атаките са дори по-мащабни от други фишинг кампании, но все още не са достигнали мащаба на
Дридекс и Локи.TA530 е насочен най-вече към финансовите услуги, следван от организации в търговията на дребно, производството, здравеопазването, образованието и бизнес услугите. Организациите, фокусирани върху технологиите, също са засегнати заедно със застрахователните компании, комуналните услуги и компаниите, занимаващи се с развлечения и медии. Транспортът е най-ниският в списъка с цели.
TA530 носи редица плейлоуди в своя арсенал, включително банков троянски кон, троянски кон за разузнаване на точката на продажба, програма за изтегляне, криптиращ файл ransomware, банков троянски ботнет и много други. Например троянският кон за разузнаване на точката на продажба се използва най-вече в кампания срещу компании за търговия на дребно и хотелиерство и финансови услуги. Банковият троянски кон е конфигуриран да атакува банки, разположени в цяла Австралия.
В примерен имейл, предоставен в доклада, Proofpoint показва, че TA530 се опитва да зарази мениджъра на компания за търговия на дребно. Този имейл включва името на целта, името на компанията и телефонния номер. Съобщението изисква управителят да попълни протокол относно инцидент, който се е случил в един от реалните търговски обекти. Мениджърът трябва да отвори документа и ако макросите са активирани, той ще зарази компютъра му, като изтегли троянския кон Point of Sale.
В малкото случаи, представени от Proofpoint, целевите лица обаче получават заразен документ охранителната фирма заявява, че тези имейли могат също да съдържат злонамерени връзки и прикачен JavaScript програми за изтегляне. Компанията също е видяла няколко имейла в кампаниите, базирани на TA530, които не са били персонализирани, но все пак са имали същите последствия.
„Въз основа на това, което видяхме в тези примери от TA530, очакваме този актьор да продължи да използва персонализиране и да разнообразява полезните товари и методите за доставка“, заявява фирмата. „Разнообразието и естеството на полезните товари предполагат, че TA530 доставя полезни товари от името на други участници. Персонализирането на имейл съобщенията не е нещо ново, но този актьор изглежда е включил и автоматизирал високо ниво на персонализиране, невиждано преди в този мащаб, в техните спам кампании.“
За съжаление, Proofpoint вярва, че тази техника за персонализиране не е ограничена до TA530, но в крайна сметка ще бъде използвана от хакери, докато се научат да теглят корпоративна информация от публични уебсайтове като LinkedIn. Отговорът на този проблем, според Proofpoint, е обучението на крайния потребител и защитен имейл шлюз.
Препоръки на редакторите
- Нови фишинг имейли за COVID-19 може да откраднат вашите бизнес тайни
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
