Kampanja za krađu identiteta ne šalje e-poštu općoj publici u nadi da će privući nekoliko žrtava, već se obično fokusira na posebna organizacija kako bi se pojedinci naveli na odavanje povjerljivih informacija kao što su vojni podaci ili trgovina tajne. Čini se da e-poruke potječu iz pouzdanog izvora i sadrže poveznicu na lažnu web stranicu zaraženu zlonamjernim softverom ili datoteku koja preuzima zlonamjerni softver.
Preporučeni videozapisi
Proofpoint kaže da se informacije koje koristi TA530 mogu prikupiti s javnih stranica poput vlastite web stranice tvrtke, LinkedIna i tako dalje. Usmjeren je na desetke tisuća pojedinaca koji se nalaze u organizacijama sa sjedištem u Sjedinjenim Državama, Ujedinjenom Kraljevstvu i Australiji. Napadi su čak i veći od drugih spear phishing kampanja, ali tek se trebaju približiti veličini
Dridex i Zaključano.TA530 uglavnom cilja na financijske usluge, a slijede ga organizacije u maloprodaji, proizvodnji, zdravstvu, obrazovanju i poslovnim uslugama. Organizacije usmjerene na tehnologiju također su pogođene zajedno s osiguravajućim društvima, komunalnim službama i tvrtkama koje se bave zabavom i medijima. Prijevoz je najniži na popisu ciljeva.
TA530 u svom arsenalu nosi brojne playloadove, uključujući trojanca za bankarstvo, trojanca za izviđanje prodajnog mjesta, program za preuzimanje, ransomware za šifriranje datoteka, botnet za bankovnog trojanca i još mnogo toga. Na primjer, izvidnički trojanac za prodajno mjesto uglavnom se koristi u kampanji protiv trgovačkih i ugostiteljskih tvrtki te financijskih usluga. Bankarski trojanac konfiguriran je za napad na banke diljem Australije.
U primjeru e-pošte navedenom u izvješću, Proofpoint pokazuje da TA530 pokušava zaraziti upravitelja maloprodajne tvrtke. Ova e-pošta uključuje ime mete, naziv tvrtke i telefonski broj. U poruci se traži da voditelj ispuni izvješće o incidentu koji se dogodio na jednom od prodajnih mjesta. Upravitelj treba otvoriti dokument, a ako su makronaredbe omogućene, zarazit će njegovo računalo preuzimanjem Point of Sale Trojana.
U nekoliko slučajeva koje je prikazao Proofpoint, ciljane osobe ipak primaju zaraženi dokument zaštitarska tvrtka navodi da te e-poruke također mogu sadržavati zlonamjerne poveznice i priloženi JavaScript preuzimatelji. Tvrtka je također vidjela nekoliko e-poruka u kampanjama temeljenim na TA530 koje nisu bile personalizirane, ali su ipak imale iste posljedice.
"Na temelju onoga što smo vidjeli u ovim primjerima iz TA530, očekujemo da će ovaj akter nastaviti koristiti personalizaciju i diverzificirati korisni teret i metode isporuke", navodi tvrtka. „Raznolikost i priroda nosivosti sugerira da TA530 isporučuje korisni teret u ime drugih aktera. Personalizacija poruka e-pošte nije novost, ali čini se da je ovaj akter uključio i automatizirao visoku razinu personalizacije, koja prije nije bila viđena u ovoj mjeri, u svojim spam kampanjama.”
Nažalost, Proofpoint vjeruje da ova tehnika personalizacije nije ograničena na TA530, već će je u konačnici koristiti hakeri dok nauče povlačiti korporativne informacije s javnih web stranica kao što je LinkedIn. Odgovor na ovaj problem, prema Proofpointu, je edukacija krajnjih korisnika i sigurna e-pošta pristupnik.
Preporuke urednika
- Nove phishing e-poruke za COVID-19 mogu ukrasti vaše poslovne tajne
Nadogradite svoj životni stilDigitalni trendovi pomažu čitateljima da prate brzi svijet tehnologije sa svim najnovijim vijestima, zabavnim recenzijama proizvoda, pronicljivim uvodnicima i jedinstvenim brzim pregledima.