Uma campanha de spear phishing não envia e-mails para o público em geral na esperança de atrair algumas vítimas, mas normalmente se concentra em uma organização específica, a fim de convencer os indivíduos a fornecerem informações confidenciais, como dados militares ou comerciais segredos. Os e-mails parecem derivar de uma fonte confiável e contêm um link para uma página da Web falsa infestada de malware ou um arquivo que baixa software malicioso.
Vídeos recomendados
A Proofpoint afirma que as informações usadas pelo TA530 podem ser coletadas de sites públicos como o próprio site da empresa, LinkedIn e assim por diante. Tem como alvo dezenas de milhares de indivíduos localizados em organizações sediadas nos Estados Unidos, no Reino Unido e na Austrália. Os ataques são ainda maiores do que outras campanhas de spear phishing, mas ainda não se aproximaram da magnitude do
Dridex e Locky.O TA530 visa principalmente serviços financeiros, seguido por organizações de varejo, manufatura, saúde, educação e serviços empresariais. Organizações focadas em tecnologia também são afetadas, juntamente com companhias de seguros, serviços de utilidade pública e empresas envolvidas em entretenimento e mídia. O transporte é o mais baixo na lista de alvos.
O TA530 carrega uma série de cargas em seu arsenal, incluindo um Trojan bancário, um Trojan de reconhecimento de ponto de venda, um downloader, ransomware com criptografia de arquivos, um botnet Trojan bancário e muito mais. Por exemplo, o Trojan de reconhecimento de ponto de venda é usado principalmente em campanhas contra empresas de varejo e hotelaria e serviços financeiros. O Trojan bancário está configurado para atacar bancos localizados em toda a Austrália.
Num exemplo de e-mail fornecido no relatório, a Proofpoint mostra que o TA530 está tentando infectar o gerente de uma empresa de varejo. Este e-mail inclui o nome do alvo, o nome da empresa e o número de telefone. A mensagem solicita que o gerente preencha um relatório sobre um incidente ocorrido em uma das lojas reais. O gerente deve abrir o documento e, se as macros estiverem habilitadas, ele infectará seu computador baixando o Trojan Point of Sale.
Nos poucos casos apresentados pela Proofpoint, os indivíduos visados recebem um documento infectado, embora a empresa de segurança afirma que esses e-mails também podem conter links maliciosos e JavaScript anexado baixadores. A empresa também viu alguns e-mails nas campanhas baseadas no TA530 que não eram personalizados, mas que ainda traziam as mesmas consequências.
“Com base no que vimos nestes exemplos do TA530, esperamos que este ator continue a usar a personalização e a diversificar as cargas úteis e os métodos de entrega”, afirma a empresa. “A diversidade e a natureza das cargas sugerem que o TA530 está entregando cargas em nome de outros atores. A personalização de mensagens de e-mail não é nova, mas este ator parece ter incorporado e automatizado um alto nível de personalização, antes não visto nesta escala, em suas campanhas de spam.”
Infelizmente, a Proofpoint acredita que esta técnica de personalização não se limita ao TA530, mas será usada por hackers à medida que aprendem a extrair dados. informações corporativas de sites públicos como o LinkedIn. A resposta para esse problema, de acordo com a Proofpoint, é a educação do usuário final e um email seguro Porta de entrada.
Recomendações dos Editores
- Novos e-mails de phishing COVID-19 podem roubar seus segredos comerciais
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.