Киберпреступники вклиниваются в рабочую переписку

В "Лаборатории Касперского" рассказали, что с февраля по март 2022 года количество таких писем в разных странах, в том числе в России выросло в 10 раз, увеличившись примерно с 3 до 30 тысяч. Вредоносные письма приходят на разных языках, в том числе на английском, немецком, французском, итальянском, польском, венгерском, норвежском, словенском. По словам экспертов, одна из схем выглядит так: в ветке уже имеющейся переписки пользователи получают письмо, в котором содержится вложение или ссылка, часто ведущая на какой-либо популярный облачный сервис для хранения файлов. "Задача письма — убедить получателей пройти по ссылке, скачать заархивированный документ и открыть его, используя пароль, указанный в тексте, или открыть вложение, прикрепленное к письму. Для этого злоумышленники обычно пишут, что документ содержит важные данные, которые получатель давно запрашивал: например, платежную форму или коммерческое предложение. Как только жертва открывает архив, содержащийся в нём троянец скачивает и запускает динамическую библиотеку Qbot. В ряде случаев вредоносные документы загружали троянец Emotet", - уточняют В "Лаборатории Касперского". Эксперты отмечают, что попавший на компьютер зловред может красть учётные данные пользователя, шпионить за деятельностью компании, распространяться по сети и устанавливать программы-шифровальщики на другие ПК, получать доступ к электронным письмам, а распространяемое таким образом вредоносное ПО может также получать доступ к электронным письмам, которые злоумышленники могут использовать для дальнейшей организации вредоносной почтовой рассылки. Руководитель группы защиты от почтовых угроз в "Лаборатории Касперского" Андрей Ковтун говорит, что подделка под деловую переписку — распространенный прием, однако в данной мошеннической рассылке все немного хитрее. "Здесь переписка является реальной, так как злоумышленник вклинивается в уже существующий диалог письмом, содержащим зловред. Текст сообщения часто выдержан в деловом стиле и генерируется скриптом, из-за чего блокировка вредоносного письма спам-фильтрами усложняется. Однако наши решения такие письма опознают и успешно блокируют", — отмечает Андрей Ковтун. По словам эксперта по информационной безопасности компании "Киберпротект" Евгения Родыгина, такая схема распространена во всем мире и Россия не исключение. "Практически все атаки на корпоративный сектор начинаются с фишинга. Специалисты по ИБ относительно легко различают фишинговые письма, сформированные внутрироссийскими группировками злоумышленников, и веерные письма извне. Внутренний фишинг использует особенности поведения русскоязычных получателей таких писем", - отмечает эксперт. Он говорит, что социальная инженерия и фишинг, как одно из его направлений, остается одним из самых действенных методов злоумышленники. Это связано с тем, злоумышленнику не нужны какие-то сложные технические решения, он использует доступные/открытые каналы информационного обмена с потенциальными жертвами. Это позволяет осуществлять манипуляции с потенциальной жертвой атаки по широкому спектру направлений, в том числе, ведущие к установке зловреда на компьютер." Мы видим тенденцию развития массовых или веерных атак с применением механизмов формирования территориального или внутреннего контекста, которые в свою очередь повышают вероятность реакции потенциальных жертв. Такие письма учитывают не только языковые особенности, но и яркие события происходящие в регионах куда эти письма направляются. Следует ожидать развития этой тенденции, включая учет злоумышленниками контекста деятельности отдельных компаний, применение для формирования фишинговых писем ИИ и средств автоматизации", - уверен Евгений Родыгин. По словам заместителя руководителя отдела информационной безопасности компании "Ланит-Интеграция" (входит в группу "Ланит") Владимира Лапшина, компьютерные атаки с использованием электронной почты – один из основных векторов распространения вредоносного ПО, в последнее время усиление такой активности действительно фиксируется. "Сегодня схема по отправке вредоносных ссылок, документов с макросами, исполняемых файлов распространена в России и за ее пределами. Это один из самых простых способов по доставке опасного программного обеспечения. Все дело в том, что такой метод охватывает широкую аудиторию пользователей, которые могут открыть такие вложения", - отмечает Владимир Лапшин. По его мнению, сообщения на местном языке имеют более высокий риск для организаций. Они могут быть замаскированы под бизнес-переписку с просьбой оперативного действия или похожее письмо, побуждающее пользователя открыть и скачать вредоносный файл. "Однако к сообщениям на иностранном языке пользователи относятся настороженно", - уточнил он. Эксперт по информационной безопасности ИТ-компании "Крок" Анастасия Федорова рассказала, что в компании фиксируют с конца февраля рост фишинговый атак с использованием методов социальной инженерии в рассылаемых письмах. По ее словам, такие рассылки эксплуатирую не только желание пользователей скачать те или иные вложения, но также и пройти по ссылкам из писем, заполнить те или иные формы. "Часто такие письма играют на самых лучших человеческих сторонах: сочувствии, гражданской позиции, справедливости. Зачастую эксплуатируется и невнимательность, и тревожность. Наш опыт работы говорит, что самое слабое звено в защищаемом периметре – это пользователь. Большая часть успешных атак на инфраструктуры компаний происходит как раз из-за ошибок и невнимательности пользователей. Справляться с такими атаками помогают методы и системы, направленные на постоянное повышение осведомленности пользователей в области ИБ и учебные тренировки пользователей, повышающие их уровень осознанности и внимательности", - отмечает Анастасия Федорова. Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев отмечает, что, как и многие другие вредоносные программы с "историей", Qbot периодически эволюционирует. Его создатели ищут новые слабые места и разрабатывают перспективные векторы атак. "Весенний всплеск активности этого зловреда связан с тем, что был создан новый способ его загрузки - через архив. Ранее Qbot распространялся через документы MS Office со встроенным макрокодом, но ради безопасности пользователей Microsoft в начале этого года по умолчанию заблокировала макросы для своих офисных приложений", - рассказывает эксперт. По оценке Евгения Родыгина из компании "Киберпротект", метод очень эффективен и связан с внутрикорпоративной культурой компаний – жертв. "Это подтверждается результатами внутренних учений которые мы проводили. Хорошо подготовленный фишинг, учитывающий внутренний контекст событий в компании, яркие события, использование особенностей культуры компании, знание и использование личной информации сотрудников компании и т.п. – ведет к великолепным результатам для мошенников и плачевным для их жертв", - рассказывает эксперт. По его словам, социальная инженерия использует яркие эмоции для манипулирования людьми и злоумышленникам не важно будут эти эмоции положительными или отрицательными – важно чтобы потенциальная жертва выполнила то, на что рассчитывают мошенники. Ссылка на источник