En spear phishing-kampanj skickar inte ut e-postmeddelanden till en allmän publik som hoppas att få in några offer, utan fokuserar vanligtvis på en specifik organisation för att få individer att ge upp konfidentiell information som militära uppgifter eller handel hemligheter. E-postmeddelandena verkar härröra från en pålitlig källa och innehåller en länk till en falsk webbsida med skadlig programvara eller en fil som laddar ner skadlig programvara.
Rekommenderade videor
Proofpoint säger att informationen som används av TA530 kan samlas in från offentliga webbplatser som företagets egen webbplats, LinkedIn och så vidare. Den riktar sig till upp till tiotusentals individer i organisationer baserade i USA, Storbritannien och Australien. Attackerna är till och med större än andra spjutnätfiskekampanjer, men har ännu inte närmat sig omfattningen av
Dridex och Locky.TA530 riktar sig mest till finansiella tjänster, följt av organisationer inom detaljhandel, tillverkning, hälsovård, utbildning och företagstjänster. Teknikfokuserade organisationer påverkas också tillsammans med försäkringsbolag, allmännyttiga tjänster och företag som arbetar med underhållning och media. Transport är den lägsta på listan över mål.
TA530 har ett antal spelladdningar i sin arsenal, inklusive en banktrojan, en försäljningstrojan, en nedladdare, filkrypterande ransomware, ett banktrojansk botnät och mer. Till exempel, Point of Sale reconnaissance Trojan används mest i en kampanj mot detaljhandels- och besöksnäringsföretag och finansiella tjänster. Banktrojanen är konfigurerad att attackera banker i hela Australien.
I ett exempel på e-postmeddelande i rapporten visar Proofpoint att TA530 försöker infektera chefen för ett detaljhandelsföretag. Detta e-postmeddelande innehåller målets namn, företagsnamn och telefonnummer. I meddelandet begärs att chefen ska fylla i en anmälan om en incident som ägde rum på en av de faktiska butiksställena. Hanteraren ska öppna dokumentet och om makron är aktiverade kommer det att infektera hans dator genom att ladda ner Point of Sale Trojan.
I de få fall som presenteras av Proofpoint får de riktade individerna dock ett infekterat dokument säkerhetsföretaget uppger att dessa e-postmeddelanden också kan innehålla skadliga länkar och bifogad JavaScript nedladdare. Företaget har också sett några e-postmeddelanden i de TA530-baserade kampanjerna som inte var personliga, men som ändå fick samma konsekvenser.
"Baserat på vad vi har sett i de här exemplen från TA530 förväntar vi oss att denna aktör kommer att fortsätta att använda personalisering och diversifiera nyttolaster och leveransmetoder", säger företaget. "Mångfalden och arten av nyttolaster tyder på att TA530 levererar nyttolaster på uppdrag av andra aktörer. Personaliseringen av e-postmeddelanden är inte ny, men den här aktören verkar ha införlivat och automatiserat en hög nivå av personalisering, som tidigare inte setts i denna skala, i sina spamkampanjer."
Tyvärr tror Proofpoint att denna personaliseringsteknik inte är begränsad till TA530, utan kommer i slutändan att användas av hackare när de lär sig att dra företagsinformation från offentliga webbplatser som LinkedIn. Svaret på detta problem, enligt Proofpoint, är slutanvändarutbildning och en säker e-post inkörsport.
Redaktörens rekommendationer
- Nya covid-19-nätfiske-e-postmeddelanden kan stjäla dina affärshemligheter
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
