Una campaña de phishing no envía correos electrónicos a una audiencia general con la esperanza de atraer a algunas víctimas, sino que normalmente se centra en una organización específica con el fin de enganchar a las personas para que revelen información confidencial, como datos militares o comerciales. misterios. Los correos electrónicos parecen provenir de una fuente confiable y contienen un enlace a una página web falsa infestada de malware o un archivo que descarga software malicioso.
Vídeos recomendados
Proofpoint dice que la información utilizada por TA530 se puede recopilar de sitios públicos como el sitio web de la empresa, LinkedIn, etc. Está dirigido a decenas de miles de personas ubicadas en organizaciones con sede en los Estados Unidos, el Reino Unido y Australia. Los ataques son incluso mayores que otras campañas de phishing, pero aún no se han acercado a la magnitud de dridex y Locky.
TA530 está dirigido principalmente a servicios financieros, seguidos por organizaciones de comercio minorista, manufactura, atención médica, educación y servicios comerciales. Las organizaciones centradas en la tecnología también se ven afectadas junto con las compañías de seguros, los servicios públicos y las empresas involucradas en el entretenimiento y los medios. El transporte es el último en la lista de objetivos.
TA530 incluye una serie de cargas de juego en su arsenal, incluido un troyano bancario, un troyano de reconocimiento de punto de venta, un descargador, un ransomware de cifrado de archivos, una botnet troyana bancaria y más. Por ejemplo, el troyano de reconocimiento de puntos de venta se utiliza principalmente en campañas contra empresas minoristas y hoteleras, y contra servicios financieros. El troyano bancario está configurado para atacar bancos ubicados en toda Australia.
En un correo electrónico de muestra proporcionado en el informe, Proofpoint muestra que TA530 está intentando infectar al gerente de una empresa minorista. Este correo electrónico incluye el nombre del objetivo, el nombre de la empresa y el número de teléfono. El mensaje solicita que el gerente complete un informe sobre un incidente que tuvo lugar en una de las tiendas minoristas reales. El administrador debe abrir el documento y, si las macros están habilitadas, infectará su computadora descargando el troyano Punto de Venta.
En los pocos casos presentados por Proofpoint, las personas objetivo reciben un documento infectado aunque la firma de seguridad afirma que estos correos electrónicos también pueden contener enlaces maliciosos y JavaScript adjunto descargadores. La compañía también vio algunos correos electrónicos en las campañas basadas en TA530 que no estaban personalizados, pero que aún tenían las mismas consecuencias.
"Según lo que hemos visto en estos ejemplos de TA530, esperamos que este actor continúe utilizando la personalización y diversificando las cargas útiles y los métodos de entrega", afirma la firma. “La diversidad y naturaleza de las cargas útiles sugieren que TA530 las está entregando en nombre de otros actores. La personalización de los mensajes de correo electrónico no es nueva, pero este actor parece haber incorporado y automatizado un alto nivel de personalización, nunca antes visto a esta escala, en sus campañas de spam”.
Desafortunadamente, Proofpoint cree que esta técnica de personalización no se limita al TA530, sino que, en última instancia, la utilizarán los piratas informáticos a medida que aprendan a extraer datos. información corporativa de sitios web públicos como LinkedIn. La respuesta a este problema, según Proofpoint, es la educación del usuario final y un correo electrónico seguro. puerta.
Recomendaciones de los editores
- Los nuevos correos electrónicos de phishing de COVID-19 pueden robar sus secretos comerciales
Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales interesantes y adelantos únicos.
