A lándzsás adathalász kampányok nem küldenek e-maileket a nagyközönségnek, abban a reményben, hogy néhány áldozatot becsalogatnak, hanem általában egy adott szervezet annak érdekében, hogy rávegyék az egyéneket arra, hogy adjanak fel bizalmas információkat, például katonai adatokat vagy kereskedelmet titkok. Úgy tűnik, hogy az e-mailek megbízható forrásból származnak, és egy hamis, rosszindulatú programokkal fertőzött weboldalra vagy egy rosszindulatú szoftvert letöltő fájlra mutató hivatkozást tartalmaznak.
Ajánlott videók
A Proofpoint szerint a TA530 által használt információk nyilvános oldalakról gyűjthetők össze, például a cég saját webhelyéről, a LinkedInről és így tovább. Akár több tízezer személyt céloz meg az Egyesült Államokban, az Egyesült Királyságban és Ausztráliában székhellyel rendelkező szervezetekben. A támadások még nagyobbak, mint más lándzsás adathalász kampányok, de még meg sem közelítik a mértéket Dridex és Locky.
A TA530 főként a pénzügyi szolgáltatásokat célozza meg, ezt követik a kiskereskedelmi, gyártási, egészségügyi, oktatási és üzleti szolgáltatások szervezetei. A technológiára összpontosító szervezeteket is érinti, valamint a biztosítótársaságokat, a közüzemi szolgáltatásokat, valamint a szórakoztatással és a médiával foglalkozó társaságokat. A közlekedés a legalacsonyabb a célpontok listáján.
A TA530 arzenáljában számos lejátszási lehetőség található, köztük egy banki trójai, egy Point of Sale felderítő trójai, egy letöltő, egy fájltitkosító zsarolóprogram, egy banki trójai botnet stb. Például a Point of Sale felderítő trójai leginkább a kiskereskedelmi és vendéglátó cégek, valamint a pénzügyi szolgáltatások elleni kampányban használatos. A banki trójai úgy van beállítva, hogy megtámadja Ausztrália egész területén található bankokat.
A jelentésben szereplő minta e-mailben a Proofpoint azt mutatja, hogy a TA530 egy kiskereskedelmi vállalat vezetőjét próbálja megfertőzni. Ez az e-mail tartalmazza a célszemély nevét, a cég nevét és a telefonszámát. Az üzenet arra kéri a vezetőt, hogy töltsön ki egy jelentést az egyik tényleges kiskereskedelmi helyen történt eseményről. A menedzsernek meg kell nyitnia a dokumentumot, és ha a makrók engedélyezve vannak, a Point of Sale Trojan letöltésével megfertőzi a számítógépét.
A Proofpoint által bemutatott néhány esetben azonban a célszemélyek fertőzött dokumentumot kapnak a biztonsági cég kijelenti, hogy ezek az e-mailek rosszindulatú hivatkozásokat és csatolt JavaScriptet is tartalmazhatnak letöltők. A cég a TA530-alapú kampányokban is látott néhány olyan e-mailt, amelyek nem voltak személyre szabva, de ugyanazokat a következményeket hordozták.
"A TA530 példáiban látottak alapján azt várjuk, hogy ez a szereplő továbbra is személyre szabottan alkalmazza, és diverzifikálja a rakományt és a szállítási módszereket" - állítja a cég. „A rakományok sokfélesége és jellege arra utal, hogy a TA530 más szereplők nevében szállítja a hasznos terheket. Az e-mail üzenetek személyre szabása nem új keletű, de úgy tűnik, hogy ez a szereplő magas szintű személyre szabást épített be és automatizált spamkampányaiba, amely korábban ilyen léptékben nem volt tapasztalható.”
Sajnos a Proofpoint úgy véli, hogy ez a személyre szabási technika nem korlátozódik a TA530-ra, hanem végső soron a hackerek is használják majd, amikor megtanulnak húzni. vállalati információk nyilvános webhelyekről, például a LinkedInről. A Proofpoint szerint a válasz erre a problémára a végfelhasználói oktatás és a biztonságos e-mail átjáró.
Szerkesztői ajánlások
- Az új COVID-19 adathalász e-mailek ellophatják üzleti titkait
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.