Пришло письмо с интересным вложением. Почему НЕ СТОИТ его сразу открывать?

В почтовом ящике можно встретить не только спам и фишинг, но и письма, где под картинкой спрятана ссылка на шпионский троян.

Мошенники рассылают в письмах ссылки на зловредов-шпионов и маскируют их картинками, имитирующими вложение. Разбираемся!

Вредоносное письмо

Вот пример целевой атаки. Мошенник пишет менеджеру промышленной компании запрос на предоставление коммерческого предложения и прилагает гайдлайн, по которым предложение должно быть составлено.

Менеджер охотно открывает вложения и готовит предложение, не обращая внимания на легкие нестыковки доменного имени и подписи. Уловку можно заметить даже невооруженным взглядом. Вот так выглядит письмо:

Письмо со ссылкой на зловред

Видите вложенный PDF? Это вообще не аттачмент! Outlook отображает почтовые вложения подобным образом, но есть ряд отличий:

• Иконка должна соответствовать приложению для чтения файлов PDF. Что за иконка изображена тут — непонятно.
• При наведении мыши на вложение, почтовый клиент покажет данные файла — имя, тип и размер. А не подсветит ссылку на непонятный сайт.
• Стрелка справа от названия файла должна подсвечиваться и работать как отдельная кнопка, вызывающая контекстное меню.
• И самое главное — вложение должно отображаться не в теле письма, а в отдельном блоке. Примерно вот так:

Настоящий PDF в письме

Что пришло в этом письме? Это картинка, как видно, если выделить содержимое письма мышкой или при помощи комбинации ctrl+A.

Картинка, изображающая вложенный PDF

Под картинкой - ссылка на вредонос. Если пользователь нажимает на нее, на компьютер скачается троян-шпион.

Полезная нагрузка атаки

В нашем примере, как оказалось, вредоносная ссылка вела на архив Swift_Banco_Unicredit_Wire_sepa_export_000937499223.cab, в нем находился загрузчик трояна, определяемого нашими технологиями как Trojan-Spy.Win32.Noon. Это достаточно стандартный шпион, известный с 2017 года, он позволяет воровать личные данные из разных форм ввода.

Как оставаться в безопасности

Для того чтобы трояны-шпионы не нанесли ущерб вам и вашей компании, снабдите ваши устройства надежным защитным решением. Оно не даст вредоносной программе запуститься.

Кроме того, разумно обучать сотрудников самостоятельно выявлять уловки злоумышленников в почте.