Добавить в корзинуПозвонить
Найти в Дзене
Форус IT-специалисту
38 подписчиков

Новая волна фишинга против организаций

36
1 мин
Мы наблюдаем новую волну фишинговых писем, доставляющих жертвам троян-шифровальщик. Судя по их содержимому, эта вредоносная спам-рассылка нацелена в первую очередь на организации. Нельзя сказать, что злоумышленники придумали что-то принципиально новое, однако они достаточно профессионально пользуются известными уловками, так что мы сочли необходимым предупредить сотрудников компаний. Фишинговые уловки Жертва получает короткое письмо, подписанное якобы сотрудником компании, название которой на слуху. В самом письме минимум деталей — сообщение «Высылаю подробности заказа» и либо URL, выглядящий как ссылка на облачное хранилище документов, либо вложение. Распознать подделку легко можно по несоответствию адреса отправителя и данных в подписи: разные фамилии и домены сразу бросаются в глаза. В письме часто ставят строку, имитирующую отметку о проверке каким-либо защитным решением, — злоумышленники считают, что так письмо вызовет больше доверия. По ссылке, разумеется, скачивается троян.
Вари

Мы наблюдаем новую волну фишинговых писем, доставляющих жертвам троян-шифровальщик. Судя по их содержимому, эта вредоносная спам-рассылка нацелена в первую очередь на организации. Нельзя сказать, что злоумышленники придумали что-то принципиально новое, однако они достаточно профессионально пользуются известными уловками, так что мы сочли необходимым предупредить сотрудников компаний.

Фишинговые уловки

Жертва получает короткое письмо, подписанное якобы сотрудником компании, название которой на слуху. В самом письме минимум деталей — сообщение «Высылаю подробности заказа» и либо URL, выглядящий как ссылка на облачное хранилище документов, либо вложение. Распознать подделку легко можно по несоответствию адреса отправителя и данных в подписи: разные фамилии и домены сразу бросаются в глаза.

-2

В письме часто ставят строку, имитирующую отметку о проверке каким-либо защитным решением, — злоумышленники считают, что так письмо вызовет больше доверия. По ссылке, разумеется, скачивается троян.
Вариант с вложением немного интереснее.

-3

В нем содержится документ (в нашем случае это PDF-файл, но может быть и, например, DOCX), имитирующий интерфейс облачного сервиса. Вот якобы система электронной отчетности и документооборота СБИС из pdf-файла:

Разумеется, при попытке «напечатать документы на экран» скачивается все тот же шифровальщик.
Не исключено, что это далеко не все варианты — в интернете мы натыкались на описания похожих случаев, в которых троян находился непосредственно в письме в виде архива с JS-файлом.

В качестве «полезной нагрузки» используется свежая разновидность давно известного шифровальщика Shade. Пару лет назад его уличили в том, что он не только блокирует данные, но и проверяет по ряду признаков, не в бухгалтерии ли работает жертва, и при необходимости вместо шифрования устанавливает инструменты удаленного доступа. Shade уже достаточно давно находится в десятке наиболее часто встречающихся троянов-вымогателей.

Действует он по классической схеме — шифрует файлы по заранее сформированному списку расширений, выводит на рабочий стол сообщение и создает файл с условиями разблокировки.

-4

Кроме того, Shade умеет устанавливать в систему и другие вредоносы.

Гаджеты и электроника
5,73 млн интересуются