Файлы «офисных» форматов (docx, xls и т.п.) стали за последний год безопаснее из-за того, что в прошлом году злоумышленники в три раза реже встраивали в них вредоносное ПО. По сравнению с 2022 годом доля рассылок файлов в формате .xls сократилась с 15,8% до 4,4%, а .doc — c 11,2% до 4,5%. Такой способ распространения вредоносов становится все менее эффективным среди злоумышленников из-за улучшения защиты в Microsoft Office и всё большей осведомленности пользователей о возможных угрозах. Такие данные приводит F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями.
Сегодня злоумышленники в основном «упаковывают» вредоносы в архивы форматов .rar (23,3%), .zip (21,1%), .z (7,7%). Внутри архивов в подавляющем большинстве случаев находятся исполняемые файлы в PE-формате (Portable Executable).
Самыми часто встречающимися вредоносными программами в письмах в 2023 году стали шпионская программа Agent Tesla (в 39,4% вредоносных рассылок) и стилеры FormBookFormgrabber(22,4%) и Loki PWS(7,4%).
Троян Agent Tesla интересуется учетными данными, которые хранятся в разных программах: браузерах, почтовых клиентах, FTP/SCP-клиентах, базах данных, клиентах удаленного администрирования, VPN-приложениях, и нескольких мессенджерах. Впрочем, Agent Tesla также умеет перехватывать буфер обмена, записывать нажатия клавиш и делать снимки экрана.
Полученная таким образом информация отправляется злоумышленникам по электронной почте. Однако некоторые модификации зловреда умеют передавать данные через Telegram или закачивать их на веб-сайт или FTP-сервер. Стилеры же сканируют компьютер на предмет наличия распространённых программ (более 100), хранящих пароли локально на компьютере, и выгружают эти пароли, пользуясь известными уязвимостями приложений.
Большинство атак с использованием этого софта – целевые; письма с трояном готовятся под конкретную организацию, их авторы делают вид, что очень хотят купить товары или услуги «жертвы» и ведут переписку в течение долгого времени. Только так можно убедить кого-то из сотрудников компании-жертвы открыть зловреда во вложении.
