Новая неделя, новая схема. Хорошо, почти новая. В статье речь идет о недавно запущенной фишинговой компании, которая использует вредоносное программное обеспечение ( далее - ВПО ), для загрузки бэкдора more_eggs. Не пугайтесь незнакомых слов и названий, в статье описывается часть, связанная с социальной инженерией. В технические моменты вы можете углубиться сами, при желании. Итак, к делу!
Не так давно, всего неделю назад, в иностранных СМИ начали появляться сообщения об обнаружении новой мошеннической схемы. Злоумышленники рассылают менеджерам по подбору персонала "резюме", которое представляет собой заражённый файл, от имени соискателя. После запуска файла, ВПО проверяет выполнение заложенных в него условий и, если файл был запущен на подходящем устройстве, то вредонос начинает производить полезную нагрузку. Такая нагрузка может варьироваться от обычной передачи персональных или финансовых данных до загрузки дополнительного ВПО. Слегка покопавшись, мне удалось обнаружить, что это не первая такая фишинговая компания. Ещё в 2018 и 2019 годах проводились подобные массовые атаки, однако жертвами выступали как раз соискатели работы. Прежняя схема имела следующий порядок:
- Злоумышленник представляется менеджером по подбору персонала;
- Злоумышленник общается с жертвой и получает данные для связи (электронная почта, телефон);
- Злоумышленник посылает на электронную почту жертвы сообщение, содержащее фишинговую ссылку, для последующего скачивания вредоносного файла, или сразу вредоносный файл.
После заражения злоумышленник получал полный доступ к устройству жертвы. Стоит заметить, что предыдущая схема была нацелена на людей, ищущих работу, а значит шанс загрузить ВПО на устройство, находящееся в сети компании, был значительно низкий. Новая схема позволяет получить доступ к корпоративной сети, так как заражению подвергается работник компании. Здесь довольно тонкий момент. Очень часто менеджеры по подбору персонала сами просят прислать им более подробное резюме. От зараженного PDF в таком случае может спасти только антивирусное программное обеспечение. Чтобы обойти защиту, создатели ВПО снабдили новую версию целым арсеналом средств препятствования анализу кода. И помимо неочевидного вектора атаки, наличия средств противодействия антивирусам и детекторам, используемое ВПО написано на непопулярном, кроссплатформенном языке программирования PureBasic. Последнее позволяет запускать вредоносный код на различных операционных системах без каких-либо дополнительных условий.
Вывод: рано или поздно антивирусы научатся распознавать данное ВПО и пока злоумышленники не создадут новую версию, каких-то проблем не будет. Но что же делать сейчас? Разве можно не доверять менеджеру или соискателю? Одним из вариантов решения проблемы может быть создание облачной формы заявок для составления и отправки резюме ( самый грошовый пример - google forms ). Не лишним будет ограничить привилегий пользователя, так как ВПО нужен доступ к системным файлам. Это очень интересный и страшный способ обмана, так как он позволяет легко внедряться в маленькие компании, которые не могут позволить себе большие затраты на защиту и даже крупный бизнес не может быть в полной мере не защищён от подобных атак.
Всем спасибо за внимание :)
#полезные советы #интересные факты #технологии #мошенники #мошеннические схемы