Kampanye spear phishing tidak mengirimkan email ke khalayak umum dengan harapan mendapatkan beberapa korban, namun biasanya berfokus pada sebuah organisasi tertentu untuk memikat individu agar memberikan informasi rahasia seperti data militer atau perdagangan rahasia. Email tersebut tampaknya berasal dari sumber tepercaya, dan berisi tautan ke halaman Web palsu yang dipenuhi malware atau file yang mengunduh perangkat lunak berbahaya.
Video yang Direkomendasikan
Proofpoint mengatakan informasi yang digunakan oleh TA530 dapat dikumpulkan dari situs publik seperti situs web perusahaan, LinkedIn, dan sebagainya. Ini menargetkan hingga puluhan ribu individu yang berlokasi di organisasi yang berbasis di Amerika Serikat, Inggris, dan Australia. Serangan ini bahkan lebih besar dibandingkan kampanye spear phishing lainnya, namun belum mendekati besarnya
Dridex Dan terkunci.TA530 sebagian besar menargetkan jasa keuangan, diikuti oleh organisasi di bidang ritel, manufaktur, layanan kesehatan, pendidikan, dan layanan bisnis. Organisasi yang berfokus pada teknologi juga terkena dampaknya, begitu pula perusahaan asuransi, layanan utilitas, dan perusahaan yang bergerak di bidang hiburan dan media. Transportasi merupakan target terendah dalam daftar target.
TA530 membawa sejumlah muatan dalam persenjataannya, termasuk Trojan perbankan, Trojan pengintai Point of Sale, pengunduh, ransomware enkripsi file, botnet Trojan perbankan, dan banyak lagi. Misalnya, Trojan pengintai Point of Sale sebagian besar digunakan dalam kampanye melawan perusahaan ritel dan perhotelan, serta jasa keuangan. Trojan perbankan dikonfigurasi untuk menyerang bank-bank yang berlokasi di seluruh Australia.
Dalam contoh email yang diberikan dalam laporan, Proofpoint menunjukkan bahwa TA530 mencoba menginfeksi manajer sebuah perusahaan ritel. Email ini berisi nama target, nama perusahaan, dan nomor telepon. Pesan tersebut meminta manajer untuk mengisi laporan mengenai kejadian yang terjadi di salah satu lokasi ritel sebenarnya. Manajer akan membuka dokumen tersebut, dan jika makro diaktifkan, ia akan menginfeksi komputernya dengan mengunduh Trojan Point of Sale.
Dalam beberapa kasus yang disajikan oleh Proofpoint, individu yang ditargetkan menerima dokumen yang terinfeksi perusahaan keamanan menyatakan bahwa email ini juga dapat berisi tautan berbahaya dan JavaScript yang dilampirkan pengunduh. Perusahaan juga melihat beberapa email dalam kampanye berbasis TA530 yang tidak dipersonalisasi, namun tetap membawa konsekuensi yang sama.
“Berdasarkan apa yang telah kami lihat pada contoh TA530 ini, kami berharap aktor ini akan terus menggunakan personalisasi dan melakukan diversifikasi muatan dan metode pengiriman,” kata perusahaan tersebut. “Keberagaman dan sifat muatan menunjukkan bahwa TA530 mengirimkan muatan atas nama aktor lain. Personalisasi pesan email bukanlah hal baru, namun pelaku ini tampaknya telah memasukkan dan mengotomatiskan personalisasi tingkat tinggi, yang sebelumnya tidak terlihat pada skala ini, dalam kampanye spam mereka.”
Sayangnya, Proofpoint yakin bahwa teknik personalisasi ini tidak terbatas pada TA530, namun pada akhirnya akan digunakan oleh peretas saat mereka belajar cara menariknya. informasi perusahaan dari situs web publik seperti LinkedIn. Jawaban atas masalah ini, menurut Proofpoint, adalah pendidikan pengguna akhir dan email yang aman gerbang.
Rekomendasi Editor
- Email phishing COVID-19 baru mungkin mencuri rahasia bisnis Anda
Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terkini, ulasan produk yang menyenangkan, editorial yang berwawasan luas, dan cuplikan unik.