С наступлением майских праздников злоумышленники взяли на вооружение новый сценарий атаки в корпоративной среде — сотрудники российских организаций начали получать сообщения в Telegram с предложением загрузить «летний набор аватарок». Такие рассылки создают иллюзию заботы от имени HR-отделов — якобы дизайнеры подготовили изображения, которые можно использовать во время отпуска в рабочих чатах.
Но за маской безобидного файла скрывается зловредный скрипт, собирающий данные с устройств жертв. Подробности произошедшего «Газете.ру» представил Александр Блезнеков, возглавляющий направление информационной безопасности в «Телеком бирже».
По словам Александра Блезнекова, схема построена на подмене доверия — получатели воспринимают сообщение как внутреннее, корпоративное. Преступники прикрепляют архив RAR, в котором прячется скрипт, ориентированный на извлечение информации с компьютера. Алгоритм ищет документы с определёнными словами в заголовках и пересылает найденное злоумышленникам. Масштаб атаки оказался значительным — только в рамках одной кампании было зафиксировано свыше 300 подобных писем, основная цель — сотрудники, работающие в сфере информационных технологий.
Как отметил Александр Блезнеков, большая часть вредоносных программ, задействованных в рассылке, ориентирована на операционную систему Windows. Их задача — незаметно интегрироваться в систему пользователя, получить доступ к файлам и отправить данные на внешние ресурсы. При этом в компании, где реализованы современные методы информационной защиты, подобные атаки могут быть оперативно пресечены.
Эксперт подчеркнул, что надёжной мерой в подобных ситуациях остаётся использование SOC — центров, отвечающих за мониторинг и анализ событий информационной безопасности. Эти структуры в реальном времени отслеживают происходящее в корпоративной сети и могут мгновенно отреагировать на аномалии. Когда система фиксирует подозрительное поведение, включается протокол реагирования — например, аккаунт пользователя блокируется, а его устройство временно отключается от общего доступа, чтобы предотвратить утечку информации.
Помимо этого, как отметил Александр Блезнеков, можно заранее исключить возможность запуска вредоносного макроса, если настроить корпоративную политику так, чтобы макросы в загруженных файлах были недоступны по умолчанию. Такой подход лишает злоумышленников главного инструмента воздействия — автоматического исполнения скрипта после открытия документа.
Оригинал публикации на сайте CISOCLUB: "Мошенники заманили российских сотрудников фальшивыми аватарками для отпусков в Telegram и внедрили вредоносный скрипт".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.