Эксперты «Лаборатории Касперского» обнаружили волну рассылок с вредоносными вложениями, замаскированными под запросы от потенциальных клиентов или партнёров. Таким образом злоумышленники распространяют троянцы для удалённого управления компьютером. Кампания продолжается с весны 2023 года. В числе мишеней как частные пользователи в России, так и предприятия — из сферы торговли и услуг.
Как происходит заражение. Письма содержат ZIP-архивы, внутри которых находятся файлы с вредоносными скриптами (в большинстве случаев JScript). Злоумышленники маскируют их под различные обращения: заявки на закупку товаров, запросы цен, акты сверки, заявления на возврат, досудебные или обычные претензии.
Для убедительности в архиве, помимо скрипта, действительно могут быть документы, относящиеся к организации или человеку, за которых выдают себя злоумышленники. Так, к письмам с запросом цен прилагаются выписки из ЕГРЮЛ, свидетельства о постановке на налоговый учёт и карточки компаний. При запуске скрипта на экране жертвы также отображается документ-приманка, например таблица со списком товаров для закупки.
Чем заражали. В результате атаки на устройство попадает один из троянцев — NetSupport RAT или BurnsRAT. Это вредоносные версии легитимных инструментов для удалённого управления компьютером — NetSupport Manager и Remote Manipulator System, возможностями которых пользуются злоумышленники.
Какие цели преследуют атакующие. Установка зловредов — только промежуточное звено в атаке. Например, на некоторые устройства после заражения могли пытаться установить ещё и стилеры. Кроме того, эксперты «Лаборатории Касперского» предполагают, что атаки могут быть связаны с группой TA569 (также известной как Mustard Tempest или Gold Prelude). Обычно она продаёт доступ к заражённым компьютерам другим злоумышленникам в даркнете. Последствия для компаний могут быть разными: от кражи данных до шифрования и повреждения систем. Также атакующие могут собирать документы и электронные адреса для продолжения собственных атак.
Эксперты присвоили кампании название Horns&Hooves («Рога и копыта»). Так называлась вымышленная организация в романе «Золотой телёнок» Ильфа и Петрова, которая была нужна Остапу Бендеру, чтобы «смешаться с бодрой массой служащих». А в данном случае — с запросами от реальных пользователей или компаний.
«Компании регулярно получают запросы, связанные с оформлением заказов, разбираются с претензиями, поэтому далеко не всегда сотрудники могут заподозрить обман, тем более что злоумышленники меняют тактики и экспериментируют с новыми инструментами. В особой зоне риска малый и средний бизнес, ведь у небольших предприятий не всегда достаточно ресурсов для защиты. Однако, чтобы противостоять подобным атакам, главное — обучать сотрудников основам информационной безопасности, рассказывать о фишинге и других распространённых угрозах. Ведь во многих случаях успех злоумышленников зависит именно от человеческого фактора», — комментирует Артём Ушков, исследователь угроз в «Лаборатории Касперского».
Подробнее о кампании — в посте на Securelist.ru.
Чтобы противостоять фишинговым атакам, «Лаборатория Касперского» рекомендует: