放大(图片来源:Getty Images)
5 月的最后一天,我的一个收件箱开始收到电子邮件,据称是我访问的瑜伽馆的一位老板发来的。它涉及我在一月份通过工作室网站发送的一条消息,该消息已在第二天由共同所有者发送的电子邮件中得到解决。现在,四个月后,她又给我发了电子邮件。
电子邮件作者写道:“在我们上周聊天的文件下方列出。” “如果您对附件有任何疑问,请与我联系。”附有一个受密码保护的 zip 文件。邮件正文下方是共同所有者在一月份发给我的回复。在接下来的几周内,这些电子邮件开始每天发送一到两次,每封都来自不同的地址。文件和密码经常更改,但基本格式(包括 1 月份的电子邮件线程)保持一致。
在安全公司 Proofpoint 的研究人员的帮助下,我现在知道这些电子邮件是他们称为 TA578 的犯罪集团的作品。 TA578 在安全行业中被称为初始访问代理。这意味着它以一种机会主义的方式大量危害最终用户设备,用恶意文件向尽可能多的地址发送垃圾邮件。然后,该团伙将其入侵的机器的访问权出售给其他威胁参与者,用于勒索软件、加密劫持和其他类型的活动。