Летом 2023 года «Лаборатория Касперского» выявила массовые вредоносные рассылки по десяткам российских учреждений из государственного и индустриального сектора. Злоумышленники рассылали письма якобы от регулятора с вложенным вредоносным архивом. Он запускал вредоносный скрипт, который с помощью нескольких модулей пытался украсть данные с заражённого устройства: снимки экрана, документы, пароли из браузеров, информацию из буфера обмена.
Техническая сторона атаки. Злоумышленники начали рассылать письма в июне 2023 года. Если жертва откроет вредоносный архив из такого сообщения, на устройстве автоматически запускается скрипт [NSIS].nsi, который открывает легитимный подложный документ в формате PDF, чтобы отвлечь внимание жертвы. Одновременно скрипт запускает загрузку и установку вредоносного бэкдора в скрытом окне, который он получает с веб-ресурса. При этом название сайта имитирует сайт официального ведомства.
После запуска зловред проверяет доступ в интернет и пытается подключиться к легитимным веб-ресурсам — зарубежным СМИ. Затем он проверяет заражённое устройство на наличие ПО и инструментов, которые могли бы обнаружить его присутствие — например, песочниц или виртуальных сред. В случае наличия хотя бы одной, бэкдор прекращал свою активность. Когда все проверки были пройдены, зловред подключался к серверу атакующих и загружал модули, которые позволяли ему красть информацию из буфера обмена, делать снимки экрана, находить пользовательские документы в популярных расширениях (например, doc, .docx, .pdf, .xls, .xlsx). Все данные передавались на сервер управления.
Вторая волна. Новую версию описанного бэкдора исследователи заметили в середине августа этого же года. Используемая цепочка заражения не изменилась, вредоносный скрипт-загрузчик был идентичным. Среди отличий — злоумышленники убрали проверку доступа в интернет через обращение к легитимным веб-ресурсам: теперь вредоносная программа сразу же подключалась к серверу управления. Также в арсенале зловреда появился модуль, который позволял красть пароли из браузеров. Помимо этого, увеличилось количество проверок среды на наличие инструментов, способных обнаружить вредоносную активность.
«Фишинговые письма — один из популярных способов проникновения злоумышленников в инфраструктуру. Атакующие, как в данном случае, стремятся использовать правдоподобные легенды, легитимные документы и применять всё более сложные тактики для скрытия своей деятельности. Так, исполнение вредоносного кода с помощью .nsi скрипта усложняет анализ вредоносной активности. Кроме того, мы отмечаем, что атакующие постоянно ищут новые изощрённые способы обойти защитные решения. Важно оставаться настороже и обращать внимание на любые подозрительные детали даже в деловых переписках», — прокомментировал Тимофей Ежов, эксперт по кибербезопасности «Лаборатории Касперского».
Чтобы не стать жертвой подобных атак, «Лаборатория Касперского» рекомендует:
- с осторожностью относиться к письмам, которые приходят с незнакомых адресов, особенно когда речь идёт о персональных данных, денежных операциях и подозрительных вложениях, даже если визуально похоже, что письмо пришло от известной организации или госоргана, по возможности проверять подлинность письма по телефону;
- проверять почтовый адрес, с которого пришло письмо, и не пересылать сообщения третьим лицам, не перепроверив содержащуюся в них информацию;
- предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence;
- пользователям следует повышать уровень цифровой грамотности, компаниям — проводить тренинги по кибербезопасности для сотрудников, обучать их распознавать техники социальной инженерии, например с помощью платформы Kaspersky Automated Security Awareness;
- установить надёжное защитное решение, которое автоматически будет отправлять подобные письма в спам, например Kaspersky Secure Mail Gateway.
- регулярно обновлять всё ПО, которое используется в работе организации.