En spyd-phishing-kampanje sender ikke ut e-poster til et generelt publikum som håper å få inn noen få ofre, men fokuserer vanligvis på en spesifikk organisasjon for å koble enkeltpersoner til å gi opp konfidensiell informasjon som militære data eller handel hemmeligheter. E-postene ser ut til å stamme fra en pålitelig kilde, og inneholder en lenke til en falsk malware-infisert nettside eller en fil som laster ned skadelig programvare.
Anbefalte videoer
Proofpoint sier at informasjonen som brukes av TA530 kan samles inn fra offentlige nettsteder som selskapets egen nettside, LinkedIn og så videre. Den er rettet mot opptil titusenvis av individer i organisasjoner basert i USA, Storbritannia og Australia. Angrepene er enda større enn andre spyd-phishing-kampanjer, men har ennå ikke nærmet seg omfanget av
Dridex og Locky.TA530 er for det meste rettet mot finansielle tjenester, etterfulgt av organisasjoner innen detaljhandel, produksjon, helsevesen, utdanning og forretningstjenester. Teknologifokuserte organisasjoner er også berørt sammen med forsikringsselskaper, forsyningstjenester og selskaper involvert i underholdning og media. Transport er den laveste på listen over mål.
TA530 har en rekke spillelaster i sitt arsenal, inkludert en banktrojaner, en salgssted-rekognoseringstrojaner, en nedlaster, filkrypterende løsepengeprogramvare, et trojansk botnett for banktjenester og mer. For eksempel brukes Point of Sale rekognoseringstrojaneren mest i en kampanje mot detaljhandel og gjestfrihetsselskaper og finansielle tjenester. Bank-trojaneren er konfigurert til å angripe banker i hele Australia.
I et eksempel på e-post i rapporten viser Proofpoint at TA530 forsøker å infisere lederen av et detaljhandelsselskap. Denne e-posten inkluderer målets navn, firmanavn og telefonnummer. Meldingen ber om at lederen fyller ut en rapport om en hendelse som fant sted på et av de faktiske utsalgsstedene. Lederen skal åpne dokumentet, og hvis makroer er aktivert, vil det infisere datamaskinen hans ved å laste ned Point of Sale Trojan.
I de få tilfellene som presenteres av Proofpoint, mottar de målrettede personene et infisert dokument sikkerhetsfirmaet opplyser at disse e-postene også kan inneholde ondsinnede lenker og vedlagt JavaScript nedlastere. Selskapet har også sett noen få e-poster i de TA530-baserte kampanjene som ikke var personlig tilpasset, men som fortsatt hadde de samme konsekvensene.
"Basert på det vi har sett i disse eksemplene fra TA530, forventer vi at denne aktøren vil fortsette å bruke personalisering og diversifisere nyttelast og leveringsmetoder," uttaler firmaet. «Mangfoldet og naturen til nyttelastene tyder på at TA530 leverer nyttelast på vegne av andre aktører. Personaliseringen av e-postmeldinger er ikke ny, men denne aktøren ser ut til å ha innlemmet og automatisert et høyt nivå av personalisering, tidligere ikke sett i denne skalaen, i spamkampanjene deres.»
Dessverre mener Proofpoint at denne personaliseringsteknikken ikke er begrenset til TA530, men til slutt vil bli brukt av hackere når de lærer å trekke bedriftsinformasjon fra offentlige nettsteder som LinkedIn. Svaret på dette problemet, ifølge Proofpoint, er sluttbrukeropplæring og en sikker e-post inngangsport.
Redaktørenes anbefalinger
- Nye covid-19-phishing-e-poster kan stjele forretningshemmelighetene dine
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
