Кампания кибершпионажа под видом соискателей

Как сообщила  «Лаборатория Касперского», ее эксперты зафиксировали кампанию кибершпионажа, нацеленную на российские организации, в частности из финансовой и ИТ-сфер. Злоумышленники рассылают письма, в которых представляются соискателями, либо просят ознакомиться с результатами проведения специальной оценки условий труда, либо отправляют некие обещанные файлы. Объединяет письма то, что атакующие делятся ссылками – якобы на архив с портфолио, презентациями и другими материалами. Однако вместо указанных документов в архивах находится вредоносная программа для кражи данных. Всего весной 2024 г. решения «Лаборатории Касперского» заблокировали несколько сотен подобных сообщений с признаками целевой рассылки.

В письмах атакующих нет вложения, «резюме» и другие файлы предлагается скачать по ссылке. Чтобы ввести в заблуждение потенциальных жертв, злоумышленники регистрируют домены, названия которых похожи на файловые хостинги, а затем формируют ссылки, которые выглядят убедительно.

В архиве, например, может  находиться стилер XDigo. Первые атаки c использованием этого ПО в «Лаборатории Касперского» фиксировали еще в конце 2022 г., поясняют в компании. Цель злоумышленников – кража конфиденциальных документов и другой информации, в том числе паролей из браузера. В частности, с этой целью троянец проверяет наличие в системе браузеров, а найденные корпоративные данные отправляет на управляющий сервер злоумышленников.

Как отмечают в «Лаборатории Касперского», схема с рассылкой вредоносного ПО под видом резюме или корпоративных документов, результатов неких проверок не теряет актуальности. Тема письма выглядит привлекательной для менеджеров, ответственных за поиск кадров или обеспечение безопасных условий и охраны труда в организации, поэтому такие сообщения действительно могут быть опасной ловушкой. Важно регулярно напоминать сотрудникам о необходимости соблюдать осторожность, даже если входящие письма от неизвестных составлены по всем канонам деловой переписки.