Keihään tietojenkalastelukampanja ei lähetä sähköposteja suurelle yleisölle toivoen saavansa muutamia uhreja, vaan keskittyy yleensä tietty organisaatio, jonka tarkoituksena on saada ihmiset luopumaan luottamuksellisista tiedoista, kuten sotilastiedoista tai kaupasta salaisuuksia. Sähköpostit näyttävät olevan peräisin luotettavasta lähteestä ja sisältävät linkin väärennetylle haittaohjelmien saastuttamalle Web-sivulle tai tiedostoon, joka lataa haittaohjelmia.
Suositellut videot
Proofpoint sanoo, että TA530:n käyttämät tiedot voidaan kerätä julkisilta sivustoilta, kuten yrityksen omalta verkkosivustolta, LinkedInistä ja niin edelleen. Se on suunnattu jopa kymmenille tuhansille henkilöille, jotka sijaitsevat Yhdysvalloissa, Isossa-Britanniassa ja Australiassa sijaitsevissa organisaatioissa. Hyökkäykset ovat jopa suurempia kuin muut keihästietojenkalastelukampanjat, mutta niiden suuruus ei ole vielä lähellä
Dridex ja Locky.TA530 on enimmäkseen suunnattu rahoituspalveluihin, joita seuraavat vähittäiskaupan, valmistuksen, terveydenhuollon, koulutuksen ja yrityspalvelujen organisaatiot. Vaikutus koskee myös teknologiapainotteisia organisaatioita, vakuutusyhtiöitä, kunnallispalveluja sekä viihde- ja mediayhtiöitä. Liikenne on kohdeluettelon alin.
TA530 sisältää useita toistokuormia arsenaalissaan, mukaan lukien pankkitroijalainen, myyntipisteen tiedustelutroijalainen, latausohjelma, tiedostoa salaava kiristysohjelma, pankkitroijalainen botnet ja paljon muuta. Esimerkiksi Point of Sale -tiedustelutroijalaista käytetään enimmäkseen kampanjassa vähittäis- ja ravintola-alan yrityksiä sekä rahoituspalveluita vastaan. Pankkitroijalainen on määritetty hyökkäämään kaikkialla Australiassa sijaitsevia pankkeja vastaan.
Raportissa annetussa esimerkkisähköpostissa Proofpoint osoittaa, että TA530 yrittää tartuttaa vähittäismyyntiyrityksen johtajan. Tämä sähköposti sisältää kohteen nimen, yrityksen nimen ja puhelinnumeron. Viestissä pyydetään johtajaa täyttämään raportti tapahtumasta, joka tapahtui jossakin varsinaisessa myyntipisteessä. Esimiehen on avattava asiakirja, ja jos makrot ovat käytössä, se saastuttaa hänen tietokoneensa lataamalla Point of Sale -troijalaisen.
Niissä muutamissa Proofpointin esittämissä tapauksissa kohteena olevat henkilöt saavat kuitenkin tartunnan saaneen asiakirjan tietoturvayhtiö toteaa, että nämä sähköpostit voivat sisältää myös haitallisia linkkejä ja liitteenä olevaa JavaScriptiä lataajat. Yritys on nähnyt myös muutamia sähköposteja TA530-pohjaisissa kampanjoissa, joita ei ollut personoitu, mutta joilla oli silti samat seuraukset.
"Näissä TA530:n esimerkeissä nähtyjen perusteella odotamme tämän toimijan jatkavan personoinnin käyttöä ja monipuolistavan hyötykuormia ja toimitustapoja", yritys toteaa. ”Hyötykuormien monimuotoisuus ja luonne viittaa siihen, että TA530 toimittaa hyötykuormia muiden toimijoiden puolesta. Sähköpostiviestien personointi ei ole uutta, mutta tämä näyttelijä näyttää sisällyttäneen ja automatisoineen roskapostikampanjoihinsa korkean tason personointia, jota ei ole aiemmin nähty tässä mittakaavassa."
Valitettavasti Proofpoint uskoo, että tämä personointitekniikka ei rajoitu TA530:een, vaan hakkerit käyttävät sitä viime kädessä oppiessaan vetämään. yritystiedot julkisilta verkkosivustoilta, kuten LinkedIn. Proofpointin mukaan vastaus tähän ongelmaan on loppukäyttäjien koulutus ja suojattu sähköposti yhdyskäytävä.
Toimittajien suositukset
- Uudet COVID-19-tietojenkalasteluviestit voivat varastaa liikesalaisuuksiasi
Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.
