Kampania phishingu typu spear nie polega na wysyłaniu e-maili do ogółu odbiorców w nadziei na złapanie kilku ofiar, ale zazwyczaj koncentruje się na określoną organizację w celu nakłonienia poszczególnych osób do ujawnienia poufnych informacji, takich jak dane wojskowe lub handlowe tajniki. Wiadomości e-mail wydają się pochodzić z zaufanego źródła i zawierają łącze do fałszywej strony internetowej zainfekowanej złośliwym oprogramowaniem lub pliku pobierającego złośliwe oprogramowanie.
Polecane filmy
Proofpoint twierdzi, że informacje wykorzystywane przez TA530 można zbierać z witryn publicznych, takich jak własna witryna internetowa firmy, LinkedIn i tak dalej. Jest skierowany do dziesiątek tysięcy osób znajdujących się w organizacjach w Stanach Zjednoczonych, Wielkiej Brytanii i Australii. Ataki są jeszcze większe niż w przypadku innych kampanii phishingu typu spear, ale nie osiągnęły jeszcze skali
TA530 jest skierowany głównie do usług finansowych, a następnie do organizacji z branży handlu detalicznego, produkcji, opieki zdrowotnej, edukacji i usług biznesowych. Dotknięte są także organizacje skupione na technologii, firmy ubezpieczeniowe, dostawcy usług komunalnych oraz firmy zajmujące się rozrywką i mediami. Transport jest najniższy na liście celów.
TA530 zawiera w swoim arsenale wiele programów, w tym trojana bankowego, trojana rozpoznającego punkty sprzedaży, narzędzie pobierające, oprogramowanie ransomware szyfrujące pliki, botnet trojana bankowego i nie tylko. Na przykład trojan rozpoznający punkty sprzedaży jest najczęściej wykorzystywany w kampaniach skierowanych przeciwko firmom zajmującym się sprzedażą detaliczną i hotelarstwem oraz usługom finansowym. Trojan bankowy jest skonfigurowany do atakowania banków zlokalizowanych w całej Australii.
W przykładowej wiadomości e-mail zawartej w raporcie Proofpoint wskazuje, że TA530 próbuje zainfekować menedżera firmy zajmującej się handlem detalicznym. Ten e-mail zawiera imię i nazwisko osoby docelowej, nazwę firmy i numer telefonu. Wiadomość zawiera prośbę o wypełnienie przez menedżera raportu dotyczącego zdarzenia, które miało miejsce w jednym z rzeczywistych punktów sprzedaży detalicznej. Menedżer ma otworzyć dokument, a jeśli makra są włączone, infekuje on jego komputer, pobierając trojana punktu sprzedaży.
W kilku przypadkach przedstawionych przez Proofpoint docelowe osoby otrzymują jednak zainfekowany dokument firma zajmująca się bezpieczeństwem twierdzi, że te e-maile mogą również zawierać złośliwe linki i załączony kod JavaScript pobieracze. Firma odnotowała także kilka e-maili w kampaniach opartych na TA530, które nie były spersonalizowane, ale mimo to niosły ze sobą te same konsekwencje.
„Na podstawie tego, co widzieliśmy w przykładach TA530, spodziewamy się, że ten podmiot będzie w dalszym ciągu korzystał z personalizacji oraz różnicował ładunki i metody dostawy” – stwierdza firma. „Różnorodność i charakter ładunków sugerują, że TA530 dostarcza ładunki w imieniu innych podmiotów. Personalizacja wiadomości e-mail nie jest niczym nowym, ale wydaje się, że podmiot ten włączył i zautomatyzował w swoich kampaniach spamowych wysoki poziom personalizacji, niespotykany wcześniej na taką skalę”.
Niestety, Proofpoint uważa, że ta technika personalizacji nie ogranicza się do TA530, ale ostatecznie zostanie wykorzystana przez hakerów, gdy nauczą się wyciągać informacje korporacyjne z publicznych witryn internetowych, takich jak LinkedIn. Odpowiedzią na ten problem, zdaniem Proofpoint, jest edukacja użytkownika końcowego i bezpieczna poczta elektroniczna wejście.
Zalecenia redaktorów
- Nowe e-maile phishingowe dotyczące wirusa COVID-19 mogą wykraść Twoje tajemnice biznesowe
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
