Афера в духе Остапа Бендера: «Лаборатория Касперского» зафиксировала всплеск вредоносных рассылок под видом запросов от потенциальных клиентов

17.10.2024
Афера в духе Остапа Бендера: «Лаборатория Касперского» зафиксировала всплеск вредоносных рассылок под видом запросов от потенциальных клиентов

Эксперты «Лаборатории Касперского» обнаружили волну рассылок с вредоносными вложениями, замаскированными под запросы от потенциальных клиентов или партнёров. Таким образом злоумышленники распространяют троянцы для удалённого управления компьютером. Кампания продолжается с весны 2023 года. В числе мишеней как частные пользователи в России, так и предприятия — из сферы торговли и услуг.

Как происходит заражение

Письма содержат ZIP-архивы, внутри которых находятся файлы с вредоносными скриптами (в большинстве случаев JScript). Злоумышленники маскируют их под различные обращения: заявки на закупку товаров, запросы цен, акты сверки, заявления на возврат, досудебные или обычные претензии.

Для убедительности в архиве, помимо скрипта, действительно могут быть документы, относящиеся к организации или человеку, за которых выдают себя злоумышленники. Так, к письмам с запросом цен прилагаются выписки из ЕГРЮЛ, свидетельства о постановке на налоговый учёт и карточки компаний. При запуске скрипта на экране жертвы также отображается документ-приманка, например таблица со списком товаров для закупки.

Чем заражали

В результате атаки на устройство попадает один из троянцев — NetSupport RAT или BurnsRAT. Это вредоносные версии легитимных инструментов для удалённого управления компьютером — NetSupport Manager и Remote Manipulator System, возможностями которых пользуются злоумышленники.

Какие цели преследуют атакующие

Установка зловредов — только промежуточное звено в атаке. Например, на некоторые устройства после заражения могли пытаться установить ещё и стилеры. Кроме того, эксперты «Лаборатории Касперского» предполагают, что атаки могут быть связаны с группой TA569 (также известной как Mustard Tempest или Gold Prelude). Обычно она продаёт доступ к заражённым компьютерам другим злоумышленникам в даркнете. Последствия для компаний могут быть разными: от кражи данных до шифрования и повреждения систем. Также атакующие могут собирать документы и электронные адреса для продолжения собственных атак.

Эксперты присвоили кампании название Horns&Hooves («Рога и копыта»). Так называлась вымышленная организация в романе «Золотой телёнок» Ильфа и Петрова, которая была нужна Остапу Бендеру, чтобы «смешаться с бодрой массой служащих». А в данном случае — с запросами от реальных пользователей или компаний.

«Компании регулярно получают запросы, связанные с оформлением заказов, разбираются с претензиями, поэтому далеко не всегда сотрудники могут заподозрить обман, тем более когда злоумышленники меняют тактики и экспериментируют с новыми инструментами. В особой зоне риска малый и средний бизнес, ведь у небольших предприятий не всегда достаточно ресурсов для защиты. Однако, чтобы противостоять подобным атакам, главное — обучать сотрудников основам информационной безопасности, рассказывать о фишинге и других распространённых угрозах. Ведь во многих случаях успех злоумышленников зависит именно от человеческого фактора», — комментирует Артём Ушков, исследователь угроз в «Лаборатории Касперского».


Популярные материалы