Найти в Дзене
Лаборатория Касперского
30,1 тыс подписчиков

Пришло письмо с интересным вложением. Почему НЕ СТОИТ его сразу открывать?

3593
1 мин
В почтовом ящике можно встретить не только спам и фишинг, но и письма, где под картинкой спрятана ссылка на шпионский троян. Мошенники рассылают в письмах ссылки на зловредов-шпионов и маскируют их картинками, имитирующими вложение. Разбираемся! Вредоносное письмо Вот пример целевой атаки. Мошенник пишет менеджеру промышленной компании запрос на предоставление коммерческого предложения и прилагает гайдлайн, по которым предложение должно быть составлено. Менеджер охотно открывает вложения и готовит предложение, не обращая внимания на легкие нестыковки доменного имени и подписи. Уловку можно заметить даже невооруженным взглядом. Вот так выглядит письмо: Видите вложенный PDF? Это вообще не аттачмент! Outlook отображает почтовые вложения подобным образом, но есть ряд отличий: Что пришло в этом письме? Это картинка, как видно, если выделить содержимое письма мышкой или при помощи комбинации ctrl+A. Под картинкой - ссылка на вредонос. Если пользователь нажимает на нее, на компьютер скачаетс
Оглавление

В почтовом ящике можно встретить не только спам и фишинг, но и письма, где под картинкой спрятана ссылка на шпионский троян.

Мошенники рассылают в письмах ссылки на зловредов-шпионов и маскируют их картинками, имитирующими вложение. Разбираемся!

Вредоносное письмо

Вот пример целевой атаки. Мошенник пишет менеджеру промышленной компании запрос на предоставление коммерческого предложения и прилагает гайдлайн, по которым предложение должно быть составлено.

Менеджер охотно открывает вложения и готовит предложение, не обращая внимания на легкие нестыковки доменного имени и подписи. Уловку можно заметить даже невооруженным взглядом. Вот так выглядит письмо:

Письмо со ссылкой на зловред
Письмо со ссылкой на зловред

Видите вложенный PDF? Это вообще не аттачмент! Outlook отображает почтовые вложения подобным образом, но есть ряд отличий:

  • Иконка должна соответствовать приложению для чтения файлов PDF. Что за иконка изображена тут — непонятно.
  • При наведении мыши на вложение, почтовый клиент покажет данные файла — имя, тип и размер. А не подсветит ссылку на непонятный сайт.
  • Стрелка справа от названия файла должна подсвечиваться и работать как отдельная кнопка, вызывающая контекстное меню.
  • И самое главное — вложение должно отображаться не в теле письма, а в отдельном блоке. Примерно вот так:
Настоящий PDF в письме
Настоящий PDF в письме

Что пришло в этом письме? Это картинка, как видно, если выделить содержимое письма мышкой или при помощи комбинации ctrl+A.

Картинка, изображающая вложенный PDF
Картинка, изображающая вложенный PDF

Под картинкой - ссылка на вредонос. Если пользователь нажимает на нее, на компьютер скачается троян-шпион.

Полезная нагрузка атаки

В нашем примере, как оказалось, вредоносная ссылка вела на архив Swift_Banco_Unicredit_Wire_sepa_export_000937499223.cab, в нем находился загрузчик трояна, определяемого нашими технологиями как Trojan-Spy.Win32.Noon. Это достаточно стандартный шпион, известный с 2017 года, он позволяет воровать личные данные из разных форм ввода.

Как оставаться в безопасности

Для того чтобы трояны-шпионы не нанесли ущерб вам и вашей компании, снабдите ваши устройства надежным защитным решением. Оно не даст вредоносной программе запуститься.

Кроме того, разумно обучать сотрудников самостоятельно выявлять уловки злоумышленников в почте.

-5