Фішингова кампанія не розсилає електронні листи широкій аудиторії з надією залучити кількох жертв, а зазвичай зосереджується на конкретну організацію, щоб змусити окремих осіб надати конфіденційну інформацію, таку як військові дані чи торгівля таємниці. Схоже, що електронні листи походять із надійного джерела та містять посилання на підроблену веб-сторінку, заражену шкідливим програмним забезпеченням, або файл, який завантажує шкідливе програмне забезпечення.
Рекомендовані відео
Proofpoint каже, що інформація, яку використовує TA530, може бути зібрана з публічних сайтів, таких як власний веб-сайт компанії, LinkedIn тощо. Він націлений на десятки тисяч осіб, які працюють в організаціях у Сполучених Штатах, Великобританії та Австралії. Ці атаки є навіть масштабнішими, ніж інші кампанії швидкого фішингу, але ще не досягли масштабів
Дрідекс і Локі.TA530 здебільшого націлений на фінансові послуги, а потім на організації роздрібної торгівлі, виробництва, охорони здоров’я, освіти та бізнес-послуг. Організації, орієнтовані на технології, також постраждали разом зі страховими компаніями, комунальними службами та компаніями, що займаються розвагами та ЗМІ. Транспорт займає найнижче місце в списку цілей.
TA530 містить у своєму арсеналі низку ігрових програм, зокрема банківський троян, розвідувальний троян для точки продажу, завантажувач, програмне забезпечення-вимагач, що шифрує файли, ботнет банківського трояна тощо. Наприклад, розвідувальний троян Point of Sale здебільшого використовується в кампанії проти компаній роздрібної торгівлі та гостинності, а також фінансових послуг. Банківський троян налаштований на атаку банків по всій Австралії.
У прикладі електронного листа, наданого у звіті, Proofpoint показує, що TA530 намагається заразити менеджера роздрібної компанії. Цей електронний лист містить ім’я об’єкта, назву компанії та номер телефону. У повідомленні міститься прохання до менеджера заповнити протокол про подію, що сталася на одному з фактичних торгових місць. Менеджер повинен відкрити документ, і якщо макроси включені, він заразить його комп’ютер, завантаживши троянець Point of Sale.
У кількох випадках, представлених Proofpoint, цільові особи отримують заражений документ охоронна фірма заявляє, що ці електронні листи також можуть містити шкідливі посилання та прикріплений JavaScript завантажувачі. Компанія також бачила кілька електронних листів у кампаніях на основі TA530, які не були персоналізовані, але все одно мали ті самі наслідки.
«Грунтуючись на тому, що ми бачили в цих прикладах з TA530, ми очікуємо, що цей актор продовжуватиме використовувати персоналізацію та диверсифікувати корисні навантаження та способи доставки», — заявляє фірма. «Різноманітність і характер корисних навантажень свідчать про те, що TA530 доставляє корисні навантаження від імені інших учасників. Персоналізація повідомлень електронної пошти не нова, але, схоже, цей актор включив і автоматизував високий рівень персоналізації, який раніше не бачив у такому масштабі, у своїх спам-кампаніях».
На жаль, Proofpoint вважає, що ця техніка персоналізації не обмежується TA530, але зрештою її використовуватимуть хакери, коли вони навчаться витягувати корпоративна інформація з загальнодоступних веб-сайтів, таких як LinkedIn. Відповіддю на цю проблему, згідно з Proofpoint, є навчання кінцевих користувачів і безпечна електронна пошта шлюз.
Рекомендації редакції
- Нові фішингові електронні листи щодо COVID-19 можуть викрасти ваші бізнес-секрети
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
