Кампања за крађу идентитета не шаље е-поруке широј публици у нади да ће навући неколико жртава, већ се обично фокусира на специфичну организацију како би навукли појединце да одустану од поверљивих информација као што су војни подаци или трговина тајне. Изгледа да е-поруке потичу из поузданог извора и садрже везу ка лажној веб страници зараженој малвером или датотеку која преузима злонамерни софтвер.
Препоручени видео снимци
Проофпоинт каже да се информације које користи ТА530 могу прикупити са јавних сајтова као што је сопствена веб локација компаније, ЛинкедИн и тако даље. Циљано је на десетине хиљада појединаца који се налазе у организацијама са седиштем у Сједињеним Државама, Уједињеном Краљевству и Аустралији. Напади су чак и већи од других кампања пхисхинга, али тек треба да се приближе величини
Дридек и Лоцки.ТА530 углавном циља на финансијске услуге, а затим на организације у малопродаји, производњи, здравству, образовању и пословним услугама. Организације фокусиране на технологију су такође погођене заједно са осигуравајућим друштвима, комуналним службама и компанијама које се баве забавом и медијима. Превоз је најнижи на листи циљева.
ТА530 у свом арсеналу носи велики број учитавања, укључујући банкарски тројанац, тројанац за извиђање на продајним местима, програм за преузимање, рансомваре за шифровање датотека, банкарски тројански ботнет и још много тога. На пример, тројанац за извиђање места продаје се углавном користи у кампањи против малопродајних и угоститељских компанија и финансијских услуга. Банкарски тројанац је конфигурисан да напада банке које се налазе широм Аустралије.
У узорку е-поште који је дат у извештају, Проофпоинт показује да ТА530 покушава да зарази менаџера малопродајне компаније. Ова адреса е-поште укључује име циља, назив компаније и број телефона. Порука захтева да менаџер попуни извештај у вези са инцидентом који се догодио на једној од стварних малопродајних локација. Менаџер треба да отвори документ и ако су макрои омогућени, он ће заразити његов рачунар преузимањем Тројанца за продајно место.
У неколико случајева које је представио Проофпоинт, циљане особе ипак добијају заражени документ безбедносна фирма наводи да ови мејлови такође могу да садрже злонамерне везе и приложени ЈаваСцрипт преузимачи. Компанија је такође видела неколико мејлова у кампањама заснованим на ТА530 које нису биле персонализоване, али су ипак имале исте последице.
„На основу онога што смо видели у овим примерима из ТА530, очекујемо да овај актер настави да користи персонализацију и да диверзификује носивост и методе испоруке“, наводе из компаније. „Разноликост и природа носивости сугерише да ТА530 испоручује терет у име других актера. Персонализација порука е-поште није нова, али чини се да је овај актер уградио и аутоматизовао висок ниво персонализације, који раније није виђен у овој скали, у своје нежељене кампање.
Нажалост, Проофпоинт верује да ова техника персонализације није ограничена на ТА530, већ ће је на крају користити хакери док науче да повлаче корпоративне информације са јавних веб локација као што је ЛинкедИн. Одговор на овај проблем, према Проофпоинт-у, је образовање крајњих корисника и сигурна е-пошта пролаз.
Препоруке уредника
- Нови имејлови за „пецање“ о ЦОВИД-19 могу украсти ваше пословне тајне
Надоградите свој животни стилДигитални трендови помажу читаоцима да прате убрзани свет технологије са свим најновијим вестима, забавним рецензијама производа, проницљивим уводницима и јединственим кратким прегледима.
