Des pirates informatiques ciblent les dirigeants d’entreprises dans le cadre d’un programme de spear phishing

Nettoyant
Rapports de la société de sécurité Proofpoint qu'un « acteur menaçant motivé par des raisons financières » qu'il appelle TA530 cible actuellement les dirigeants de l'entreprise et d'autres employés de haut niveau dans le cadre d'une campagne de spear phishing inhabituellement personnalisée. Il cible les personnes occupant des postes de haut rang tels que directeur financier et vice-président. président en utilisant des e-mails contenant leurs noms spécifiques, leurs titres de poste, leurs numéros de téléphone, etc. corps de l'e-mail.

Une campagne de spear phishing n’envoie pas d’e-mails à un grand public dans l’espoir d’attirer quelques victimes, mais se concentre généralement sur une organisation spécifique afin d'inciter les individus à divulguer des informations confidentielles telles que des données militaires ou commerciales secrets. Les e-mails semblent provenir d'une source fiable et contiennent un lien vers une fausse page Web infestée de logiciels malveillants ou un fichier téléchargeant des logiciels malveillants.

Vidéos recommandées

Proofpoint indique que les informations utilisées par TA530 peuvent être collectées à partir de sites publics tels que le site Web de l'entreprise, LinkedIn, etc. Il cible jusqu’à des dizaines de milliers de personnes appartenant à des organisations basées aux États-Unis, au Royaume-Uni et en Australie. Les attaques sont encore plus importantes que les autres campagnes de spear phishing, mais elles n’ont pas encore atteint l’ampleur de Dridex et Verrouillage.

TA530 cible principalement les services financiers, suivis par les organisations des secteurs de la vente au détail, de l'industrie manufacturière, des soins de santé, de l'éducation et des services aux entreprises. Les organisations axées sur la technologie sont également touchées, tout comme les compagnies d'assurance, les services publics et les entreprises impliquées dans le divertissement et les médias. Le transport arrive en bas de la liste des cibles.

TA530 contient un certain nombre de charges de jeu dans son arsenal, notamment un cheval de Troie bancaire, un cheval de Troie de reconnaissance de point de vente, un téléchargeur, un ransomware de cryptage de fichiers, un botnet de cheval de Troie bancaire, et bien plus encore. Par exemple, le cheval de Troie de reconnaissance des points de vente est principalement utilisé dans le cadre d'une campagne contre les entreprises de vente au détail, d'hôtellerie et de services financiers. Le cheval de Troie bancaire est configuré pour attaquer les banques situées dans toute l'Australie.

Dans un exemple d'e-mail fourni dans le rapport, Proofpoint montre que TA530 tente d'infecter le responsable d'une entreprise de vente au détail. Cet e-mail comprend le nom de la cible, le nom de l'entreprise et le numéro de téléphone. Le message demande au responsable de remplir un rapport concernant un incident survenu dans l'un des points de vente au détail réels. Le gestionnaire doit ouvrir le document, et si les macros sont activées, il infectera son ordinateur en téléchargeant le cheval de Troie du point de vente.

Dans les quelques cas présentés par Proofpoint, les individus ciblés reçoivent un document infecté bien que la société de sécurité déclare que ces e-mails peuvent également contenir des liens malveillants et du JavaScript joint téléchargeurs. L'entreprise a également repéré quelques e-mails dans les campagnes basées sur le TA530 qui n'étaient pas personnalisés, mais qui entraînaient toujours les mêmes conséquences.

"Sur la base de ce que nous avons vu dans ces exemples du TA530, nous nous attendons à ce que cet acteur continue à utiliser la personnalisation et à diversifier les charges utiles et les méthodes de livraison", déclare la société. « La diversité et la nature des charges utiles suggèrent que le TA530 livre des charges utiles pour le compte d'autres acteurs. La personnalisation des e-mails n’est pas nouvelle, mais cet acteur semble avoir incorporé et automatisé un haut niveau de personnalisation, jamais vu à cette échelle, dans ses campagnes de spam.

Malheureusement, Proofpoint estime que cette technique de personnalisation ne se limite pas au TA530, mais qu'elle sera finalement utilisée par les pirates informatiques à mesure qu'ils apprennent à extraire des données. informations d'entreprise provenant de sites Web publics tels que LinkedIn. La réponse à ce problème, selon Proofpoint, est l'éducation de l'utilisateur final et une messagerie électronique sécurisée. passerelle.

Recommandations des rédacteurs

  • Les nouveaux e-mails de phishing liés au COVID-19 pourraient voler vos secrets professionnels

Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.