Có tên là PerSwaysion, nhóm này dường như nhắm mục tiêu vào lãnh đạo các công ty lĩnh vực tài chính. Đối tượng này chiếm hơn một nửa số nạn nhân bị tấn công.
Mặc dù hoạt động của PerSwaysion không tinh vi, nhưng cực kỳ thành công. Group-IB cho biết tin tặc không sử dụng các lỗ hổng hoặc phần mềm độc hại trong các cuộc tấn công của chúng mà dựa vào một kỹ thuật lừa đảo truyền thống.
Chúng gửi email có chứa mã độc cho giám đốc điều hành tại các công ty. Mục tiêu là lừa họ nhập các thông tin đăng nhập Office 365 trên những trang giả mạo.
Group-IB cho biết toàn bộ kế hoạch của PerSwaysion có thể tóm tắt theo một quy trình ba bước đơn giản sau:
1. Nạn nhân nhận được email chứa một tệp PDF dưới dạng tệp đính kèm email. Nếu nạn nhân mở tệp, họ sẽ được yêu cầu nhấp vào một liên kết để xem nội dung thực tế.
2. Liên kết này sẽ chuyển hướng người dùng đến trang Microsoft Sway (dịch vụ bản tin), trong đó một tệp tương tự sẽ yêu cầu nạn nhân nhấp vào liên kết khác.
3. Liên kết cuối cùng này chuyển người dùng đến một trang đăng nhập giả mạo Microsoft Outlook, nơi tin tặc sẽ thu thập thông tin xác thực của nạn nhân.
Một khi vụ lừa đảo thành công, nhóm PerSwaysion thường truy cập các tài khoản email bị tấn công trong vòng một ngày.
Group-IB cho biết: "Sau khi các thông tin đăng nhập được gửi đến các máy chủ điều khiển qua lệnh, nhóm tin tặc PerSwaysion đăng nhập vào tài khoản email bị xâm phạm. Chúng đổ dữ liệu email qua API và thiết lập các kết nối tới công việc của chủ sở hữu email".
Cuối cùng, chúng tạo các tệp PDF lừa đảo mới với họ tên đầy đủ, địa chỉ email, tên công ty hợp pháp hiện tại của nạn nhân. Các tệp PDF này được gửi tới một loạt những người mới được lựa chọn, họ không làm việc chung với nạn nhân và thường giữ các vị trí quan trọng.
Group-IB cho biết, khi PerSwaysion phát động một chiến dịch lừa đảo mới từ một tài khoản bị xâm nhập, chúng cũng thường xóa các email mạo danh từ thư mục hộp thư đi để tránh bị phát hiện.
Hiện tại, Group-IB không thể xác định được tin tặc đã làm gì sau khi có quyền truy cập vào các tài khoản email này. Chúng có thể bán quyền truy cập cho các nhóm tội phạm mạng khác hoặc đợi cơ hội và đánh cắp tài sản trí tuệ hay chuẩn bị để khởi động một vụ tấn công lừa đảo qua email của doanh nghiệp.
Group-IB cho biết, dựa trên bằng chứng hiện tại, nhóm PerSwaysion dường như được thành lập từ các thành viên ở Nigeria và Nam Phi.
Công ty an ninh mạng này đã công bố một trang web nơi các lãnh đạo điều hành có thể kiểm tra xem địa chỉ email của họ có bị mua lại và bị nhắm mục tiêu trong quá khứ.