Эксперты «Лаборатории Касперского» предупредили о новой вредоносной рассылке по компаниям в России.
Среди известий попадаются письма якобы от официальных ведомств страны. Согласно легенде преступников, из-за ошибок в электронной информационной базе получатель обязан проверить правильность информации о сотрудниках. Вероятно, цель нападающих - шпионаж, кража документов или данных для доступа к корпоративным почтовым ящикам. Используемые зловреды и техники имеют множество сходств с теми, которые применяет в своих атаках группа XDSpy.
Рассылка началась утром 13 марта. За четверо суток эксперты «Лаборатории Касперского» обнаружили несколько сотен аналогичных писем. Злоумышленники просят сверить данные о сотрудниках якобы из базы ведомства. Маскируясь под вложенного списка рассылается вредоносное ПО. В известьи утверждается, что обновлённую информацию нужно направить безотлагательно, иначе получатель рискует быть привлечённым к административной ответственности. Среди основных адресатов - сотрудники кадровых и финансовых отделов. Однако, как предостерегают профессионалы, такое письмо может прийти на любой корпоративный адрес.
15 марта была заблокирована ещё одна волна рассылки с этими же признаками. Внутри нее злоумышленники страшили получателя уголовной статьёй в связи с неким денежным переводом и предлагали перейти по ссылке, чтобы узнать подробности «дела». Ссылка также была вредоносной.
Для рассылки злоумышленники регистрируют домены, которые похожи на легитимные файловые хостинги. Если пользователь попытается посмотреть заявленный в письме список, распакует скачавшийся архив и откроет файл, то с подачи командной строки запустится вредоносный код, и атака продолжится.
«В скачиваемом по ссылке архиве два файла. Какой-то из них - ярлык, наименование которого соответствует описанию в тексте письма (например, Spisok_No_658.lnk). Второй - текстовый, с вредоносным кодом. Он назван Thumbs.db, как и служебный файл в операционных системах Microsoft, который используется для хранения набросков содержащихся в папке изображений. Если попытаться открыть данный якобы список, то автоматически запустится второй файл, атака продолжится», - предуведомляет эксперт по кибербезопасности «Лаборатории Касперского» Виктория Власова.
«Сами письма хол и выглядят правдоподобно - содержат подпись и адрес отправителя - написаны достаточно халатно, с оплошностями. Более того, бдительный пользователь заметит, что приходят они с домена, не имеющего никакого отношения к заявленной организации, - добавляет руководитель группы защиты от почтовых угроз «Лаборатории Касперского» Андрей Ковтун. - В целом рассылка похожа на ту, что мы видели в начале октября бывшего года, когда шла волна писем с фальшивыми повестками в военкомат: используется почтовая программа Thunderbird; формат письма, одна слава ссылок и имена доменов тоже похожи; отправка, как а тогда, осуществляется с доменов не из зоны ru».
Фото: Unsplash.com