Grupa słynąca z kampanii phishingowych w ostatnim czasie stała się bardziej aktywna. Jej celem jest kradzież danych – alarmują specjaliści.
Specjaliści Proofpoint przeanalizowali ostatnią aktywność grupy śledzonej pod sygnaturą TA4903. Udostępnili raport, w którym podzielili się kluczowymi wnioskami na temat działalności cyberprzestępców. Wiadomo, że ich cele znajdowały się nie tylko w Stanach Zjednoczonych.
Phishing. Metoda grupy
Eksperci przypominają, że TA4903 to ugrupowanie prowadzące operacje z motywów finansowych. Zwykle podszywają się pod instytucje rządowe oraz prywatne firmy z wielu branż. Ataki są ukierunkowane na organizacje z całego świata, choć w dużej mierze na podmioty z USA.
Sprawcy specjalizują się w phishingu. Słyną z rozsyłania na masową skalę wiadomości, których celem jest nakłonienie odbiorcy do podjęcia określonych kroków, np. pobrania załącznika lub kliknięcia w link.
Czytaj też
Wzrost aktywności grupy
W odniesieniu do najnowszej aktywności grupy, Proofpoint wskazuje, że atakującym najpewniej zależało na kradzieży danych uwierzytelniających firmy, infiltracji skrzynek mailowych i prowadzeniu dalszych operacji, w tym włamaniach na pocztę biznesową.
Eksperci w grudniu 2021 r. wykryli serię ataków, w ramach których sprawcy podszywali się pod instytucje rządu federalnego USA, np. Departament Pracy. W 2022 r. podawali się za m.in. Departament Handlu czy Transportu. Podobnie było również w ubiegłym roku.
W okresie od połowy 2023 do 2024 r. nastąpił wzrost aktywności TA4903. Grupa zaczęła podszywać się także pod przedsiębiorstwa z różnych sektorów, w tym budowlany, finansów czy produkcji.
Niepokojące maile to wabik
Treść wiadomości rozsyłanych przez cyberprzestępców ma przykuć uwagę odbiorców. W związku z tym na skrzynki trafiają np. maile mówiące o rzekomym cyberataku, aby skłonić ofiary do podania wrażliwych danych, w tym danych uwierzytelniających i/lub bankowych.
„Większość wiadomości (…) posiada linki lub załączniki, przekierowujące do witryn wyłudzających dane” – alarmują specjaliści. W takim mailu może znajdować się plik PDF lub innego formatu, a także kod QR.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].