Oštepová phishingová kampaň neposiela e-maily širokému publiku v nádeji, že priláka niekoľko obetí, ale zvyčajne sa zameriava na konkrétnu organizáciu s cieľom prinútiť jednotlivcov, aby sa vzdali dôverných informácií, ako sú vojenské údaje alebo obchod tajomstvá. Zdá sa, že e-maily pochádzajú z dôveryhodného zdroja a obsahujú odkaz na falošnú webovú stránku napadnutú škodlivým softvérom alebo súbor, ktorý sťahuje škodlivý softvér.
Odporúčané videá
Proofpoint hovorí, že informácie používané TA530 je možné získať z verejných stránok, ako je webová stránka spoločnosti, LinkedIn atď. Zameriava sa až na desiatky tisíc jednotlivcov v organizáciách so sídlom v Spojených štátoch, Spojenom kráľovstve a Austrálii. Útoky sú ešte väčšie ako iné kampane typu spear phishing, ale ešte sa musia priblížiť k veľkosti
Dridex a Locky.TA530 sa zameriava najmä na finančné služby, za ktorými nasledujú organizácie v oblasti maloobchodu, výroby, zdravotníctva, vzdelávania a obchodných služieb. Postihnuté sú aj organizácie zamerané na technológie spolu s poisťovňami, verejnoprospešnými službami a spoločnosťami zaoberajúcimi sa zábavou a médiami. Doprava je na zozname cieľov najnižšia.
TA530 má vo svojom arzenáli množstvo playloadov, vrátane bankového trójskeho koňa, prieskumného trójskeho koňa v mieste predaja, sťahovacieho programu, ransomvéru na šifrovanie súborov, bankového trójskeho botnetu a ďalších. Napríklad prieskumný trójsky kôň v mieste predaja sa väčšinou používa v kampani proti maloobchodným a pohostinským spoločnostiam a finančným službám. Bankový trójsky kôň je nakonfigurovaný tak, aby útočil na banky nachádzajúce sa v celej Austrálii.
Vo vzorovom e-maile uvedenom v správe Proofpoint ukazuje, že TA530 sa pokúša infikovať manažéra maloobchodnej spoločnosti. Tento e-mail obsahuje meno cieľa, názov spoločnosti a telefónne číslo. Správa vyžaduje, aby manažér vyplnil správu o incidente, ktorý sa odohral na jednom zo skutočných maloobchodných miest. Manažér otvorí dokument a ak sú povolené makrá, infikuje jeho počítač stiahnutím trójskeho koňa z miesta predaja.
V niekoľkých prípadoch prezentovaných spoločnosťou Proofpoint však cieľové osoby dostanú infikovaný dokument bezpečnostná firma uvádza, že tieto e-maily môžu obsahovať aj škodlivé odkazy a pripojený JavaScript sťahovačov. Spoločnosť tiež zaznamenala niekoľko e-mailov v kampaniach založených na TA530, ktoré neboli prispôsobené, ale stále mali rovnaké dôsledky.
„Na základe toho, čo sme videli v týchto príkladoch z TA530, očakávame, že tento aktér bude aj naďalej používať personalizáciu a diverzifikovať užitočné zaťaženie a spôsoby doručenia,“ uvádza firma. „Rozmanitosť a povaha užitočného zaťaženia naznačuje, že TA530 dodáva užitočné zaťaženia v mene iných aktérov. Personalizácia e-mailových správ nie je novinkou, ale zdá sa, že tento aktér do svojich spamových kampaní začlenil a zautomatizoval vysokú úroveň personalizácie, ktorá sa predtým v takomto rozsahu nevyskytovala.“
Nanešťastie, Proofpoint verí, že táto personalizačná technika nie je obmedzená na TA530, ale nakoniec ju použijú hackeri, keď sa naučia ťahať firemné informácie z verejných webových stránok, ako je LinkedIn. Odpoveďou na tento problém je podľa Proofpointu vzdelávanie koncových používateľov a bezpečný e-mail brána.
Odporúčania redaktorov
- Nové phishingové e-maily COVID-19 môžu ukradnúť vaše obchodné tajomstvá
Zlepšite svoj životný štýlDigitálne trendy pomáhajú čitateľom mať prehľad o rýchlo sa rozvíjajúcom svete technológií so všetkými najnovšími správami, zábavnými recenziami produktov, užitočnými úvodníkmi a jedinečnými ukážkami.