Вредоносные рассылки корпоративным пользователям
По сообщению «Лаборатории Касперского», ее эксперты выявили волну атак на корпоративных пользователей, в том числе в российских организациях. Особенность этой рассылки в том, что сообщения приходят якобы от людей, с которыми получатели уже вели деловую переписку, злоумышленники вклиниваются в уже существующий диалог. Тема письма указывает, что внутри может находиться запись аудиоконференции, информация о встрече или детали реального проекта. За содержащейся в письмах ссылкой находится вредоносное ПО, если получатель переходит по ней, на устройство загружается троянец-загрузчик PikaBot.
По данным «Лаборатории Касперского», волна началась в десятых числах мая, пик атаки пришелся на период с 15 по 18 мая. За несколько дней эксперты зафиксировали почти 5 тыс. подобных писем.
PikaBot – новое семейство вредоносного ПО, на сегодня оно применяется в основном для скрытой установки других семейств ПО, а также для исполнения произвольного кода командной строки, полученной с удаленного сервера. В атаках PikaBot используются те же методы и иногда та же инфраструктура, что и для распространения банковского троянца Qbot, способного извлекать пароли и куки из браузеров, воровать письма, перехватывать трафик, давать операторам удаленный доступ к зараженной системе.
Как отмечают в «Лаборатории Касперского», семейство PikaBot умеет проверять языковые настройки целевой системы: злоумышленников интересуют русский, белорусский, таджикский, словенский, грузинский, казахский, узбекский. Если ПО «видит» эти языки, то атака прекращается. Может показаться, что PikaBot пока не представляет серьезной угрозы для российских пользователей, однако в России уже было зафиксировано довольно много атак, а кроме того, вместо PikaBot может быть загружен более деструктивный вредоносный файл.
В последние годы, предупреждают эксперты, вредоносные и фишинговые рассылки все чаще маскируют под деловую переписку, текст из реальных писем помогает сделать такие сообщения более убедительными. Иногда в поле отправителя добавляют имя настоящего адресанта, хотя можно заметить, что отправлено письмо отправлено с другого электронного адреса. Часто сообщения относятся к переписке, завершившейся несколько лет назад. В «Лаборатории Касперского» рекомендуют пользователям внимательно проверять адрес, с которого пришло письмо, и не пересылать сообщения третьим лицам, не перепроверив содержащуюся в них информацию.