O campanie de spear phishing nu trimite e-mailuri către un public larg, sperând să atragă câteva victime, dar se concentrează de obicei pe o anumită organizație pentru a atrage indivizii să renunțe la informații confidențiale, cum ar fi datele militare sau comerțul secrete. E-mailurile par să provină dintr-o sursă de încredere și să conțină un link către o pagină web falsă infestată de programe malware sau un fișier care descarcă software rău intenționat.
Videoclipuri recomandate
Proofpoint spune că informațiile utilizate de TA530 pot fi adunate de pe site-uri publice precum site-ul propriu al companiei, LinkedIn și așa mai departe. Acesta vizează până la zeci de mii de persoane aflate în organizații cu sediul în Statele Unite, Regatul Unit și Australia. Atacurile sunt chiar mai mari decât alte campanii de spear phishing, dar încă nu se apropie de amploarea
Dridex și Locky.TA530 vizează în principal serviciile financiare, urmate de organizații din comerțul cu amănuntul, producție, îngrijire medicală, educație și servicii pentru afaceri. Organizațiile axate pe tehnologie sunt, de asemenea, afectate împreună cu companiile de asigurări, serviciile de utilități și companiile implicate în divertisment și mass-media. Transportul este cel mai jos de pe lista țintelor.
TA530 are o serie de încărcături de redare în arsenalul său, inclusiv un troian bancar, un troian de recunoaștere punct de vânzare, un program de descărcare, un ransomware de criptare a fișierelor, un botnet troian bancar și multe altele. De exemplu, troianul de recunoaștere a punctului de vânzare este folosit mai ales într-o campanie împotriva companiilor de retail și ospitalitate și a serviciilor financiare. Troianul bancar este configurat pentru a ataca băncile situate în toată Australia.
Într-un exemplu de e-mail furnizat în raport, Proofpoint arată că TA530 încearcă să infecteze managerul unei companii de retail. Acest e-mail include numele țintei, numele companiei și numărul de telefon. Mesajul solicită managerului să completeze un raport cu privire la un incident care a avut loc la una dintre locațiile reale de vânzare cu amănuntul. Managerul trebuie să deschidă documentul, iar dacă macrourile sunt activate, acesta își va infecta computerul prin descărcarea troianului punct de vânzare.
În puținele cazuri prezentate de Proofpoint, persoanele vizate primesc un document infectat deși firma de securitate afirmă că aceste e-mailuri pot conține, de asemenea, link-uri rău intenționate și JavaScript atașat descărcătoare. Compania a văzut, de asemenea, câteva e-mailuri în campaniile bazate pe TA530, care nu au fost personalizate, dar au avut totuși aceleași consecințe.
„Pe baza a ceea ce am văzut în aceste exemple de la TA530, ne așteptăm ca acest actor să continue să folosească personalizarea și să diversifice sarcinile utile și metodele de livrare”, afirmă firma. „Diversitatea și natura sarcinilor utile sugerează că TA530 furnizează încărcături utile în numele altor actori. Personalizarea mesajelor de e-mail nu este nouă, dar acest actor pare să fi încorporat și automatizat un nivel ridicat de personalizare, nemaivăzut anterior la această scară, în campaniile lor de spam.”
Din păcate, Proofpoint consideră că această tehnică de personalizare nu se limitează la TA530, ci va fi folosită în cele din urmă de hackeri pe măsură ce învață să tragă. informații corporative de pe site-uri web publice, cum ar fi LinkedIn. Răspunsul la această problemă, potrivit Proofpoint, este educația utilizatorului final și un e-mail securizat poarta de acces.
Recomandările editorilor
- Noile e-mailuri de phishing COVID-19 vă pot fura secretele de afaceri
Îmbunătățește-ți stilul de viațăDigital Trends îi ajută pe cititori să țină cont de lumea rapidă a tehnologiei cu toate cele mai recente știri, recenzii distractive despre produse, editoriale perspicace și anticipări unice.
