Кампания целевого фишинга не рассылает электронные письма широкой аудитории в надежде поймать несколько жертв, а обычно фокусируется на конкретную организацию, чтобы заставить людей отказаться от конфиденциальной информации, такой как военные данные или торговые данные. секреты. Похоже, что электронные письма получены из надежного источника и содержат ссылку на поддельную веб-страницу, зараженную вредоносным ПО, или файл, загружающий вредоносное программное обеспечение.
Рекомендуемые видео
В Proofpoint утверждают, что информацию, используемую TA530, можно получить с общедоступных сайтов, таких как собственный веб-сайт компании, LinkedIn и так далее. Он нацелен на десятки тысяч людей, находящихся в организациях, расположенных в США, Великобритании и Австралии. Атаки даже масштабнее, чем другие целевые фишинговые кампании, но еще не приблизились к масштабам Драйдекс и Локки.
TA530 в основном ориентирован на финансовые услуги, за которыми следуют организации розничной торговли, производства, здравоохранения, образования и бизнес-услуг. Пострадают также организации, ориентированные на технологии, а также страховые компании, коммунальные службы и компании, работающие в сфере развлечений и средств массовой информации. Транспорт занимает последнее место в списке целей.
В арсенале TA530 имеется ряд игровых нагрузок, в том числе банковский троян, троян для разведки торговых точек, загрузчик, программа-вымогатель, шифрующая файлы, банковский троянский ботнет и многое другое. Например, троян-разведчик торговых точек чаще всего используется в кампании против компаний розничной торговли, гостиничного бизнеса и финансовых услуг. Банковский троянец настроен на атаку банков, расположенных по всей территории Австралии.
В образце электронного письма, представленном в отчете, Proofpoint показывает, что TA530 пытается заразить менеджера розничной компании. Это электронное письмо включает имя цели, название компании и номер телефона. В сообщении содержится просьба к менеджеру заполнить отчет об инциденте, произошедшем в одной из реальных торговых точек. Менеджер должен открыть документ, и если макросы включены, он заразит его компьютер, загрузив трояна торговой точки.
В тех немногих случаях, представленных Proofpoint, целевые лица получают зараженный документ, хотя охранная фирма заявляет, что эти электронные письма также могут содержать вредоносные ссылки и прикрепленный JavaScript. загрузчики. Компания также видела несколько писем в кампаниях на базе TA530, которые не были персонализированными, но имели те же последствия.
«Исходя из того, что мы видели в этих примерах TA530, мы ожидаем, что этот субъект продолжит использовать персонализацию и диверсифицировать полезную нагрузку и методы доставки», — заявляет фирма. «Разнообразие и характер полезной нагрузки позволяют предположить, что TA530 доставляет полезную нагрузку от имени других участников. Персонализация сообщений электронной почты не нова, но этот субъект, похоже, внедрил и автоматизировал высокий уровень персонализации, ранее не встречавшийся в таком масштабе, в своих спам-кампаниях».
К сожалению, Proofpoint полагает, что этот метод персонализации не ограничивается TA530, но в конечном итоге будет использоваться хакерами, когда они научатся извлекать корпоративную информацию с общедоступных веб-сайтов, таких как LinkedIn. По мнению Proofpoint, ответом на эту проблему является обучение конечных пользователей и безопасная электронная почта. шлюз.
Рекомендации редакции
- Новые фишинговые письма о COVID-19 могут украсть ваши деловые секреты
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.
