Kopírovací phishingová kampaň nerozesílá e-maily širokému publiku v naději, že si přivodí několik obětí, ale obvykle se zaměřuje na konkrétní organizace za účelem přimět jednotlivce, aby se vzdal důvěrných informací, jako jsou vojenská data nebo obchod tajemství. Zdá se, že e-maily pocházejí z důvěryhodného zdroje a obsahují odkaz na falešnou webovou stránku zamořenou malwarem nebo soubor, který stahuje škodlivý software.
Doporučená videa
Proofpoint říká, že informace používané TA530 lze získat z veřejných stránek, jako je vlastní web společnosti, LinkedIn a tak dále. Zaměřuje se až na desítky tisíc jednotlivců v organizacích se sídlem ve Spojených státech, Spojeném království a Austrálii. Útoky jsou ještě větší než u jiných kopí phishingových kampaní, ale ještě se musí přiblížit velikosti
Dridex a Locky.TA530 se většinou zaměřuje na finanční služby, následují organizace v maloobchodě, výrobě, zdravotnictví, vzdělávání a obchodních službách. Postiženy jsou také organizace zaměřené na technologie spolu s pojišťovnami, veřejnými službami a společnostmi zabývajícími se zábavou a médii. Doprava je na seznamu cílů nejnižší.
TA530 má ve svém arzenálu řadu playloadů, včetně bankovního trojského koně, průzkumného trojana Point of Sale, downloaderu, ransomwaru pro šifrování souborů, bankovního trojského botnetu a dalších. Například průzkumný trojan Point of Sale se většinou používá v kampani proti maloobchodním a pohostinským společnostem a finančním službám. Bankovní trojský kůň je nakonfigurován tak, aby útočil na banky umístěné po celé Austrálii.
Ve vzorovém e-mailu poskytnutém ve zprávě Proofpoint ukazuje, že TA530 se pokouší nakazit manažera maloobchodní společnosti. Tento e-mail obsahuje jméno cíle, název společnosti a telefonní číslo. Zpráva požaduje, aby manažer vyplnil zprávu o incidentu, který se odehrál v jednom ze skutečných maloobchodních míst. Manažer má otevřít dokument, a pokud jsou povolena makra, infikuje jeho počítač stažením trojského koně Point of Sale.
V několika málo případech prezentovaných Proofpointem však cílové osoby obdrží infikovaný dokument bezpečnostní firma uvádí, že tyto e-maily mohou také obsahovat škodlivé odkazy a připojený JavaScript stahovači. Společnost také zaznamenala několik e-mailů v kampaních založených na TA530, které nebyly personalizované, ale stále měly stejné důsledky.
„Na základě toho, co jsme viděli v těchto příkladech z TA530, očekáváme, že tento hráč bude i nadále používat personalizaci a diverzifikovat užitečné zatížení a způsoby doručení,“ uvádí firma. „Rozmanitost a povaha užitečného zatížení naznačují, že TA530 dodává užitečné zatížení jménem jiných aktérů. Personalizace e-mailových zpráv není nová, ale zdá se, že tento aktér do svých spamových kampaní začlenil a zautomatizoval vysokou úroveň personalizace, která dříve v tomto měřítku nebyla vidět.“
Proofpoint bohužel věří, že tato personalizační technika není omezena na TA530, ale nakonec ji využijí hackeři, když se naučí vytahovat firemní informace z veřejných webových stránek, jako je LinkedIn. Odpovědí na tento problém je podle Proofpointu vzdělávání koncových uživatelů a zabezpečený e-mail brána.
Doporučení redakce
- Nové phishingové e-maily COVID-19 mohou ukrást vaše obchodní tajemství
Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.
