Поделиться
Хакеры массово атакуют российские компании, прикидываясь известным поставщиком электрооборудования
Российские ИБ-специалисты зафиксировали массовую атаку стиллера Loki на российские компании, в результате которой происходит хищение учетных данных. Вредоносные письма рассылаются от имени крупного поставщика электрооборудования.
Бомбардировка фейковыми письмами
В начале мая 2023 г. киберпреступники атаковали несколько российских компаний с помощью фейковой почтовой рассылки. Об этом сообщает РБК со ссылкой на центр кибербезопасности F.A.С.С.T (бывшая Group-B). Злоумышленники использовали крадущий данные стиллер Loki.
Известно, что письма поступали на почтовые адреса компаний от имени крупного поставщика электрооборудования – какого именно, не уточняется.
Чтобы подменить адрес, с которого приходят письма, хакеры применили технику спуфинга. Эта техника популярна у киберпреступников – она эксплуатирует проблему почтового протокола SMTP, которая позволяет с помощью подходящего почтового клиента, скрипта или утилиты изменить адрес отправителя. В итоге пользователь даже не подозревает, что письмо отправлен с нелегитимного адреса и спокойно переходят по предложенным ссылкам. Также в письме может быть вложение, открыв которое сотрудник компании загружает на свой компьютер вредоносное программное обеспечение.
Эксперты F.A.С.С.T отмечают, что в письмах, которые сотрудники российских компаний получили на этой неделе, их просят выслать коммерческое предложение «с конкурентоспособными ценами для продуктов, перечисленных в приложенном документе заказа на поставку». В приложении же содержится к ZIP-архив, который, если его открыть, загружает на устройство пользователя стиллер Loki.
Как работает стиллер
Напомним, стиллер – это вредоносная программа, нацеленная на хищение учетных данных, например, логинов и паролей, данных банковских карт и криптокошельков. Их хакеры впоследствии используют, чтобы получить доступ к корпоративным почтовым аккаунтам, базам данных компании, финансового мошенничества, вымогательства или шпионажа.
Что касается Loki, как объясняют эксперты F.A.С.С.T, он написан на языке C++ и является одним из самых популярных ВПО, которые используют для похищения информации с зараженного компьютера. Data Stealer очень быстро выполняет эту задачу, и времени на защиту от атаки у пользователя почти нет.
Атак через почту все больше
В конце апреля 2023 г. представители F.A.С.С.T писали о том, что спуфинг стал самой распространенной техникой для атак с отправкой вредоносных писем в I квартале 2023 г. Помимо стилеров в письмах также содержались программы-шпионы.
Такие выводы эксперты сделали после анализа вредоносных рассылок, которые обнаружила их система Managed XDR для предотвращения кибератак. Оказалось, что спуфинг применялся в 67,5% атак по электронной почте. Иногда злоумышленники ставили в поле «отправитель» почтовые адреса компаний, в которых работали получатели, чтобы еще больше их дезориентировать.
Второй по распространенности техникой при рассылке фейковых писем в 2023 г. стала регистрация почтовых доменов, похожих на адреса электронных ящиков реальных компаний. Это позволяло хакерам обходить базовую проверку протоколов электронной почты.
Рассылались вредоносные письма также с помощью бесплатных почтовых сервисов, в основном злоумышленники использовали сервисы Gmail – в 41,1% случаев и HotMail – 28,8%.
Кроме того, по данным «Лаборатории Касперского», в атаках через почту фишеры начали использовать технологию Web 3.0 – IPFS. Хакеры размещают фишинговые HTML-файлы в IPFS, чтобы снизить расходы на хостинг. За первые три месяца 2023 г. аналитики обнаружили около 80 тыс. писем в России, отправленных подобным образом.
Короткая ссылка
