Una campagna di spear phishing non invia e-mail a un pubblico generale sperando di attirare alcune vittime, ma in genere si concentra su un'organizzazione specifica al fine di indurre gli individui a fornire informazioni riservate come dati militari o commerciali segreti. Le e-mail sembrano provenire da una fonte attendibile e contengono un collegamento a una pagina Web falsa infestata da malware o a un file che scarica software dannoso.
Video consigliati
Proofpoint afferma che le informazioni utilizzate da TA530 possono essere raccolte da siti pubblici come il sito Web dell'azienda, LinkedIn e così via. Si rivolge a decine di migliaia di persone che fanno parte di organizzazioni con sede negli Stati Uniti, nel Regno Unito e in Australia. Gli attacchi sono ancora più grandi di altre campagne di spear phishing, ma devono ancora avvicinarsi alla portata di
Dridex E Locky.TA530 si rivolge principalmente ai servizi finanziari, seguiti dalle organizzazioni del commercio al dettaglio, della produzione, dell’assistenza sanitaria, dell’istruzione e dei servizi alle imprese. Sono interessate anche le organizzazioni focalizzate sulla tecnologia, così come le compagnie assicurative, i servizi di pubblica utilità e le società coinvolte nell’intrattenimento e nei media. I trasporti sono gli ultimi nella lista degli obiettivi.
TA530 porta con sé una serie di playload, tra cui un trojan bancario, un trojan da ricognizione del punto vendita, un downloader, un ransomware per la crittografia dei file, una botnet trojan bancari e altro ancora. Ad esempio, il trojan di ricognizione del punto vendita viene utilizzato principalmente in una campagna contro le società di vendita al dettaglio, di ospitalità e di servizi finanziari. Il trojan bancario è configurato per attaccare le banche situate in tutta l'Australia.
In un'e-mail di esempio fornita nel rapporto, Proofpoint mostra che TA530 sta tentando di infettare il manager di un'azienda di vendita al dettaglio. Questa email include il nome del target, il nome dell'azienda e il numero di telefono. Il messaggio richiede che il gestore compili un rapporto riguardante un incidente avvenuto in uno dei punti vendita effettivi. Il manager deve aprire il documento e, se le macro sono abilitate, infetterà il suo computer scaricando il Trojan Point of Sale.
Nei pochi casi presentati da Proofpoint, le persone prese di mira ricevono tuttavia un documento infetto la società di sicurezza afferma che queste e-mail possono contenere anche collegamenti dannosi e JavaScript allegato downloader. L'azienda ha anche riscontrato alcune e-mail nelle campagne basate su TA530 che non erano personalizzate, ma portavano comunque le stesse conseguenze.
“Sulla base di ciò che abbiamo visto in questi esempi del TA530, ci aspettiamo che questo attore continui a utilizzare la personalizzazione e a diversificare i carichi utili e i metodi di consegna”, afferma l’azienda. “La diversità e la natura dei carichi utili suggeriscono che TA530 stia fornendo carichi utili per conto di altri attori. La personalizzazione dei messaggi e-mail non è una novità, ma questo attore sembra aver incorporato e automatizzato un elevato livello di personalizzazione, mai visto prima su questa scala, nelle proprie campagne di spam”.
Sfortunatamente, Proofpoint ritiene che questa tecnica di personalizzazione non sia limitata al TA530, ma verrà utilizzata dagli hacker man mano che impareranno a sfruttare informazioni aziendali da siti Web pubblici come LinkedIn. La risposta a questo problema, secondo Proofpoint, è l’educazione dell’utente finale e un’e-mail sicura porta.
Raccomandazioni degli editori
- Le nuove e-mail di phishing relative al COVID-19 potrebbero rubare i tuoi segreti aziendali
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
