Oda andmepüügikampaania ei saada e-kirju laiemale vaatajaskonnale, kes loodab tabada paar ohvrit, vaid keskendub tavaliselt konkreetne organisatsioon, et meelitada inimesi loobuma konfidentsiaalsest teabest, nagu sõjalised andmed või kaubandus saladusi. Tundub, et meilid pärinevad usaldusväärsest allikast ja sisaldavad linki võltsitud pahavaraga nakatunud veebilehele või failile, mis laadib alla pahatahtlikku tarkvara.
Soovitatavad videod
Proofpoint ütleb, et TA530 kasutatavat teavet saab koguda avalikelt saitidelt, nagu ettevõtte enda veebisait, LinkedIn ja nii edasi. See on suunatud kuni kümnetele tuhandetele isikutele, kes asuvad Ameerika Ühendriikides, Ühendkuningriigis ja Austraalias asuvates organisatsioonides. Rünnakud on isegi suuremad kui teised odaga andmepüügikampaaniad, kuid ei ole veel jõudnud nende ulatusele
Dridex ja Locky.TA530 on peamiselt suunatud finantsteenustele, millele järgnevad jaemüügi, tootmise, tervishoiu, hariduse ja äriteenuste organisatsioonid. Mõjutatud on ka tehnoloogiale keskendunud organisatsioonid, kindlustusfirmad, kommunaalteenused ning meelelahutuse ja meediaga tegelevad ettevõtted. Transport on sihtmärkide nimekirjas madalaim.
TA530 arsenalis on mitu esituskoormust, sealhulgas pangatroojalane, müügikoha tutvumistroojalane, allalaadija, faile krüpteeriv lunavara, pangandustrooja robotvõrk ja palju muud. Näiteks müügikoha tutvustustroojalast kasutatakse enamasti jaemüügi- ja majutusettevõtete ning finantsteenuste vastase kampaania jaoks. Pangandustroojalane on konfigureeritud ründama kogu Austraalias asuvaid panku.
Aruandes esitatud näidismeilis näitab Proofpoint, et TA530 üritab nakatada jaemüügiettevõtte juhti. See meil sisaldab sihtmärgi nime, ettevõtte nime ja telefoninumbrit. Sõnumis palutakse juhil täita aruanne ühes tegelikus jaemüügikohas toimunud juhtumi kohta. Haldur peab dokumendi avama ja kui makrod on lubatud, nakatab see tema arvuti, laadides alla müügipunkti troojalase.
Mõnel üksikul Proofpointi esitatud juhtumil saavad sihitud isikud siiski nakatunud dokumendi turvafirma teatab, et need meilid võivad sisaldada ka pahatahtlikke linke ja lisatud JavaScripti allalaadijad. Ettevõte on näinud TA530-põhistes kampaaniates ka mõnda e-kirja, mis ei olnud isikupärastatud, kuid millel olid siiski samad tagajärjed.
"Nendes TA530 näidetes nähtu põhjal eeldame, et see osaleja jätkab isikupärastamise kasutamist ning kasuliku koormuse ja tarneviiside mitmekesistamist," teatab ettevõte. „Kasulike koormate mitmekesisus ja iseloom viitavad sellele, et TA530 tarnib kasulikke koormusi teiste osalejate nimel. Meilisõnumite isikupärastamine ei ole uus asi, kuid näib, et see näitleja on oma rämpspostikampaaniatesse lisanud ja automatiseerinud kõrgetasemelise isikupärastamise, mida sellises mahus varem polnud nähtud.
Kahjuks usub Proofpoint, et see isikupärastamise tehnika ei piirdu TA530-ga, vaid häkkerid kasutavad seda lõpuks, kui nad õpivad tõmbama. ettevõtte teave avalikelt veebisaitidelt, nagu LinkedIn. Vastus sellele probleemile on Proofpointi sõnul lõppkasutaja haridus ja turvaline meil värav.
Toimetajate soovitused
- Uued COVID-19 andmepüügimeilid võivad varastada teie ärisaladusi
Uuendage oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.
