En spear phishing-kampagne udsender ikke e-mails til et generelt publikum, der håber at få nogle få ofre, men fokuserer typisk på en specifik organisation for at få enkeltpersoner til at opgive fortrolige oplysninger såsom militærdata eller handel hemmeligheder. E-mails ser ud til at stamme fra en pålidelig kilde og indeholder et link til en falsk malware-inficeret webside eller en fil, der downloader ondsindet software.
Anbefalede videoer
Proofpoint siger, at de oplysninger, der bruges af TA530, kan indsamles fra offentlige websteder som virksomhedens egen hjemmeside, LinkedIn og så videre. Den er rettet mod op til titusindvis af personer, der er placeret i organisationer baseret i USA, Storbritannien og Australien. Angrebene er endnu større end andre spear phishing-kampagner, men har endnu ikke nærmet sig størrelsen af
Dridex og Locky.TA530 er for det meste rettet mod finansielle tjenester, efterfulgt af organisationer inden for detailhandel, fremstilling, sundhedspleje, uddannelse og forretningsservice. Teknologifokuserede organisationer er også berørt sammen med forsikringsselskaber, forsyningstjenester og virksomheder involveret i underholdning og medier. Transport er den laveste på listen over mål.
TA530 har en række playloads i sit arsenal, herunder en banktrojaner, en salgsstedstrojaner, en downloader, filkrypterende ransomware, et banktrojansk botnet og mere. For eksempel bruges Point of Sale rekognosceringstrojaneren mest i en kampagne mod detail- og gæstfrihedsvirksomheder og finansielle tjenester. Banktrojaneren er konfigureret til at angribe banker i hele Australien.
I en prøve-e-mail i rapporten viser Proofpoint, at TA530 forsøger at inficere lederen af en detailvirksomhed. Denne e-mail inkluderer målets navn, firmanavnet og telefonnummeret. Meddelelsen anmoder om, at lederen udfylder en rapport vedrørende en hændelse, der fandt sted på en af de faktiske detailsteder. Lederen skal åbne dokumentet, og hvis makroer er aktiveret, vil det inficere hans computer ved at downloade Point of Sale Trojan.
I de få tilfælde, som Proofpoint præsenterer, modtager de målrettede personer dog et inficeret dokument sikkerhedsfirmaet oplyser, at disse e-mails også kan indeholde ondsindede links og vedhæftet JavaScript downloadere. Virksomheden har også set et par e-mails i de TA530-baserede kampagner, der ikke var personaliserede, men som stadig havde samme konsekvenser.
"Baseret på, hvad vi har set i disse eksempler fra TA530, forventer vi, at denne aktør fortsætter med at bruge personalisering og diversificere nyttelast og leveringsmetoder," udtaler firmaet. “Nyttelasternes mangfoldighed og karakter tyder på, at TA530 leverer nyttelast på vegne af andre aktører. Personaliseringen af e-mail-beskeder er ikke ny, men denne aktør ser ud til at have indarbejdet og automatiseret et højt niveau af personalisering, som tidligere ikke er set i denne skala, i deres spamkampagner."
Desværre mener Proofpoint, at denne personaliseringsteknik ikke er begrænset til TA530, men i sidste ende vil blive brugt af hackere, når de lærer at trække virksomhedsoplysninger fra offentlige hjemmesider såsom LinkedIn. Svaret på dette problem er ifølge Proofpoint slutbrugeruddannelse og en sikker e-mail gateway.
Redaktørens anbefalinger
- Nye COVID-19-phishing-e-mails kan stjæle dine forretningshemmeligheder
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
