Новости Horns&Hooves: цифровой Остап Бендер обчищает компании по всей стране

NewsMaker

I'm just a script
Премиум
13,885
20
8 Ноя 2022
«Лаборатория Касперского» обнаружила массовую рассылку с вредоносными файлами.


j31y6smpeeuf4o4pe48bhq0tmccpmn3y.jpg


Эксперты компании «Лаборатория Касперского» Для просмотра ссылки Войди или Зарегистрируйся новую волну массовых рассылок электронных писем с вредоносными вложениями, замаскированными под деловую корреспонденцию от потенциальных клиентов или партнёров. В ходе этой кибератаки злоумышленники распространяют троянские программы, предназначенные для удалённого контроля над компьютерами жертв. Кампания началась весной 2023 года, в число мишеней входят как частные пользователи из России, так и компании, в основном из сфер торговли и предоставления услуг.

<h3>Механизм заражения</h3> Рассылаемые письма содержат ZIP-архивы, внутри которых скрыты вредоносные скрипты (в основном это JScript-файлы). Киберпреступники тщательно маскируют их под различные типовые обращения: заявки на покупку товаров, запросы цен, акты сверки, заявления на возврат, а также досудебные или стандартные претензии. Для повышения доверия жертвы, в архив могут добавляться реальные документы, соответствующие указанной организации или лицу, от имени которых выступают мошенники. Например, к письмам с запросом цен могут прилагаться выписки из ЕГРЮЛ, свидетельства о постановке на налоговый учёт или карточки компаний.

При запуске вредоносного скрипта пользователю демонстрируется так называемый документ-приманка — таблица или другой документ, например, список товаров для предполагаемой закупки.

<h3>Используемое вредоносное ПО</h3> В результате успешной атаки на устройство загружается один из двух известных троянцев: NetSupport RAT или BurnsRAT. Оба являются модифицированными версиями легитимных программ для удалённого администрирования — NetSupport Manager и Remote Manipulator System.

<h3>Цели злоумышленников</h3> Установка троянца — лишь первый этап атаки. В некоторых случаях, как отмечают специалисты «Лаборатории Касперского», на заражённых устройствах могут дополнительно устанавливаться стилеры — вредоносные программы, предназначенные для кражи конфиденциальной информации (паролей, данных учетных записей и т.д.). Кроме того, эксперты предполагают, что за этой кампанией может стоять известная хакерская группа TA569 (также известная как Mustard Tempest или Gold Prelude), которая продаёт доступ к заражённым системам на специализированных теневых форумах. Для компаний это грозит серьёзными последствиями — от кражи данных до шифрования информации и повреждения систем. Также атакующие могут собирать документы и электронные адреса для продолжения собственных атак.

<h3>Идентификация атаки</h3> Специалисты «Лаборатории Касперского» присвоили этой кампании название Horns&Hooves («Рога и копыта»), в честь вымышленного предприятия из романа Ильфа и Петрова «Золотой телёнок». В книге организация была создана Остапом Бендером для того, чтобы слиться с массой ничего не подозревающих служащих. В текущей ситуации злоумышленники используют аналогичную тактику, пытаясь выдать себя за реальных контрагентов и замаскировать вредоносные вложения под легитимные запросы.

<h3>Меры предосторожности и рекомендации</h3> В «Лаборатории Касперского» отмечают, что компании регулярно получают запросы, связанные с оформлением заказов или претензиями, поэтому далеко не всегда сотрудники могут заподозрить обман, особенно когда злоумышленники меняют тактики и экспериментируют с новыми инструментами. Это особенно актуально для малого и среднего бизнеса, где зачастую нет ресурсов для надёжной защиты. В таких условиях основную роль в предотвращении угроз играет обучение сотрудников информационной безопасности.

По мнению экспертов, человеческий фактор нередко становится ключевым в успехе или провале подобных атак. Знание признаков фишинга и осторожное обращение с подозрительными вложениями — важные меры, которые помогают существенно снизить риск заражения.
 
Источник новости
www.securitylab.ru

Похожие темы