Специалисты «Лаборатории Касперского» выявили обновлённую кампанию распространения бэкдора BrockenDoor. Если ранее вредонос направляли в адрес российских медучреждений, запугивая их претензиями к качеству лечения, то теперь в фокусе оказались промышленные организации. Вместе с выбором новой отрасли изменилась и легенда.
В рассылках утверждается, что в ходе проверки у компании выявлены признаки административного правонарушения. Повод формулируется максимально серьёзно: якобы транспорт вышел на линию без положенного предрейсового технического контроля или водитель не прошёл медицинский осмотр. Такие обвинения способны вызвать тревогу у сотрудников, особенно если письмо похоже на официальное.
Атакующие стараются придать сообщениям правдоподобие: представляются действующими сотрудниками ведомств и используют электронные адреса, которые внешне напоминают домены реальных госструктур. Вложение оформлено как архив с «актом проверки» и «формой для пояснений». Пароль к архиву указывается прямо в письме — это приём, позволяющий усложнить автоматическое сканирование защитными системами.
После распаковки запускается BrockenDoor, который соединяется с управляющим сервером и передаёт сведения о заражённой системе: имя пользователя, характеристики устройства, данные об операционной системе, перечень файлов на рабочем столе. Если полученная информация представляет интерес, злоумышленники активируют дополнительные команды и развивают атаку.
Эксперты подчёркивают, что ключевой инструмент преступников — не техническая изощрённость, а давление на человека. Расчёт делается на страх перед проверками и штрафами, из-за которого сотрудник может поспешно открыть вложение.
Читайте нас в Telegram