Een spearphishing-campagne stuurt geen e-mails naar een algemeen publiek in de hoop een paar slachtoffers binnen te halen, maar richt zich doorgaans op een specifieke organisatie om individuen ertoe aan te zetten vertrouwelijke informatie zoals militaire gegevens of handel op te geven geheimen. De e-mails lijken afkomstig te zijn van een vertrouwde bron en bevatten een link naar een nep-malware-geïnfecteerde webpagina of een bestand dat schadelijke software downloadt.
Aanbevolen video's
Proofpoint zegt dat de informatie die door TA530 wordt gebruikt, kan worden verzameld van openbare sites zoals de eigen website van het bedrijf, LinkedIn, enzovoort. Het richt zich op maximaal tienduizenden personen in organisaties in de Verenigde Staten, het Verenigd Koninkrijk en Australië. De aanvallen zijn zelfs groter dan bij andere spearphishing-campagnes, maar hebben nog niet de omvang ervan benaderd
Dridex En Locky.TA530 richt zich vooral op financiële dienstverlening, gevolgd door organisaties in de detailhandel, productie, gezondheidszorg, onderwijs en zakelijke dienstverlening. Technologiegerichte organisaties worden ook getroffen, evenals verzekeringsmaatschappijen, nutsbedrijven en bedrijven die zich bezighouden met entertainment en media. Transport staat het laagst op de lijst met doelwitten.
TA530 heeft een aantal playloads in zijn arsenaal, waaronder een banking Trojan, een Point of Sale verkenning Trojan, een downloader, bestandsversleutelende ransomware, een banking Trojan-botnet en meer. De Point of Sale-verkenningtrojan wordt bijvoorbeeld vooral gebruikt in een campagne tegen detailhandels- en horecabedrijven en financiële dienstverleners. De banking Trojan is geconfigureerd om banken in heel Australië aan te vallen.
In een voorbeeld-e-mail in het rapport laat Proofpoint zien dat TA530 probeert de manager van een detailhandelsbedrijf te infecteren. Deze e-mail bevat de naam van het doelwit, de bedrijfsnaam en het telefoonnummer. In het bericht wordt gevraagd dat de manager een rapport invult over een incident dat heeft plaatsgevonden op een van de daadwerkelijke winkellocaties. De manager moet het document openen en als macro's zijn ingeschakeld, zal het zijn computer infecteren door de Point of Sale Trojan te downloaden.
In de weinige gevallen die door Proofpoint worden gepresenteerd, ontvangen de beoogde personen echter een geïnfecteerd document het beveiligingsbedrijf stelt dat deze e-mails ook kwaadaardige links en bijgevoegd JavaScript kunnen bevatten downloaders. Het bedrijf heeft in de TA530-gebaseerde campagnes ook enkele e-mails gezien die niet gepersonaliseerd waren, maar toch dezelfde gevolgen hadden.
“Gebaseerd op wat we in deze voorbeelden van TA530 hebben gezien, verwachten we dat deze actor personalisatie zal blijven gebruiken en de payloads en leveringsmethoden zal blijven diversifiëren”, aldus het bedrijf. “De diversiteit en aard van de ladingen suggereren dat TA530 ladingen levert namens andere actoren. De personalisatie van e-mailberichten is niet nieuw, maar deze actor lijkt een hoog niveau van personalisatie, dat voorheen niet op deze schaal werd gezien, in hun spamcampagnes te hebben opgenomen en geautomatiseerd.”
Helaas is Proofpoint van mening dat deze personalisatietechniek niet beperkt is tot de TA530, maar uiteindelijk door hackers zal worden gebruikt terwijl ze leren om bedrijfsinformatie van openbare websites zoals LinkedIn. Het antwoord op dit probleem is volgens Proofpoint het opleiden van eindgebruikers en een beveiligde e-mail poort.
Aanbevelingen van de redactie
- Nieuwe COVID-19-phishing-e-mails kunnen uw bedrijfsgeheimen stelen
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
