Эксперты «Лаборатории Касперского» зафиксировали кампанию кибершпионажа, нацеленную на российские компании, в частности из финансовой и ИТ-сфер. Злоумышленники рассылают письма, в которых в одних случаях представляются соискателями, в других — просят ознакомиться с результатами проведения специальной оценки условий труда или отправляют некие обещанные файлы. Объединяет письма то, что атакующие делятся ссылками — якобы на архив с портфолио, презентациями и другими материалами. Однако вместо указанных документов в архивах находится вредоносная программа для кражи данных. Всего весной 2024 года решения «Лаборатории Касперского» заблокировали несколько сотен подобных сообщений с признаками целевой рассылки.
В письмах атакующих нет вложения, «резюме» и другие файлы предлагается скачать по ссылке. Чтобы ввести в заблуждение потенциальных жертв, злоумышленники регистрируют домены, названия которых похожи на файловые хостинги, а затем формируют ссылки, которые выглядят убедительно.
«В архиве находится стилер XDigo. Первые атаки c использованием этого зловреда мы фиксировали ещё в конце 2022 года. Цель злоумышленников — кибершпионаж, кража конфиденциальных документов и другой информации, в том числе паролей из браузера. В частности, с этой целью троянец проверяет наличие в системе браузеров. Найденные корпоративные данные зловред отправляет на управляющий сервер злоумышленников», — прокомментировала Виктория Власова, эксперт по кибербезопасности в «Лаборатории Касперского».
«Схема с рассылкой зловредов под видом резюме или корпоративных документов, результатов неких проверок не теряет своей актуальности. Тема письма выглядит привлекательной для менеджеров, ответственных за поиск кадров или обеспечение безопасных условий и охраны труда в организации, поэтому такие сообщения действительно могут быть опасной ловушкой. Важно регулярно напоминать сотрудникам о необходимости соблюдать осторожность, даже если входящие письма от неизвестных составлены по всем канонам деловой переписки», — отметила Анна Лазаричева, спам-аналитик в «Лаборатории Касперского».
Для защиты от подобных атак «Лаборатория Касперского» рекомендует компаниям:
- установить надёжное защитное решение, которое автоматически будет отправлять подобные письма в спам, например Kaspersky Secure Mail Gateway;
- регулярно проводить для сотрудников тренинги по кибербезопасности, обучать их распознавать техники социальной инженерии, например с помощью платформы Kaspersky Automated Security Awareness Platform;
- использовать комплексные решения, например из линейки Kaspersky Symphony. Они помогают обеспечить защиту в режиме реального времени, отслеживать угрозы, исследовать и реагировать на них с помощью решений уровня EDR и XDR. Защитные продукты из этой линейки подойдут организациям любого размера и отрасли, в них предусмотрена возможность перехода на другой, более подходящий уровень в зависимости от потребностей компании.