В последние месяцы специалисты «Лаборатории Касперского» зафиксировали тревожную тенденцию — увеличившееся количество вредоносных рассылок, создающих угрозу как для частных пользователей, так и для организаций. Злоумышленники маскируют свои атаки под запросы о сотрудничестве или закупках, стремясь распространить троянцев, предназначенных для удалённого управления компьютерами.
С начала весны 2023 года активные кибератаки на российский рынок стали обычным явлением. Преступники нацеливаются на широкий спектр объектов, включая малый и средний бизнес, а также крупные предприятия, работающие в сфере торговли и услуг. В основе новых атак лежит хитрая схема: с помощью электронных писем, содержащих вредоносные ZIP-архивы, злоумышленники притягивают кибержертв, предлагая писать заявки на закупку товаров, запрашивать цены, а также оформлять различные документы и акт сверки.
Как именно происходит заражение? Пользователь, получив подобное письмо, может открыть архив, в котором содержатся файлы с вредоносными скриптами, чаще всего написанными на JScript. Злоумышленники маскируют эти скрипты, добавляя к ним документы, подлинность которых может подтвердить мнимый запрос — такие как выписки из ЕГРЮЛ или свидетельства о постановке на налоговый учет. Поскольку в момент активации скрипта на экране пользователя появляется документ, например, таблица со списком товаров, шанс заподозрить мошенничество у жертвы уменьшается.
При успешном запуске такого вредоносного ПО на компьютер жертвы устанавливаются один или несколько вариантов троянцев, таких как NetSupport RAT или BurnsRAT. Эти программы являются модифицированными версиями легитимных инструментов удалённого управления, которые, к сожалению, часто используются злоумышленниками для доступа к системам жертв.
Цели атакующих выходят за рамки простой установки вредоносного ПО. Например, на некоторые устройства после заражения могут добавляться стилеры — программы, кража информации из которых серьезно угрожает безопасности данных компании. Эксперты «Лаборатории Касперского» также предполагают связь текущих атак с группой TA569, известной как Mustard Tempest. Эта группа популярна за продажу доступа к заражённым компьютерам на теневых рынках даркнета, что создаёт дополнительные последствия для корпоративной безопасности — от утечки данных до шифрования информации.
«Компании регулярно получают запросы, связанные с оформлением заказов, разбираются с претензиями, поэтому не всегда сотрудники могут заподозрить обман, особенно когда злоумышленники меняют тактики и используют новые инструменты атаки. В группе повышенного риска находятся малые и средние предприятия, так как у них часто недостаточно ресурсов для защиты от киберугроз. Однако сопротивляться подобным атакам можно, обучая сотрудников основам информационной безопасности и объясняя риски, связанные с фишингом и другими распространёнными угрозами. Успех злоумышленников во многом зависит от человеческого фактора», — комментирует ситуацию Артём Ушков, исследователь угроз в «Лаборатории Касперского».
Ранее мы писали о том, что появились новые ограничения приложений «Лаборатории Касперского» для пользователей Аndroid. Как сообщает сама компания, все ее сервисы, предназначенные для защиты мобильных устройств, были удалены из официального магазина Google Play. Об этом стало известно из недавнего заявления компании на официальном сайте. Ситуация отличается от практики в App Store, где все продукты «Лаборатории Касперского» по-прежнему доступны для скачивания.