BI.ZONE об атаках нового стилера на российские компании
Компания BI.ZONE сообщила, что в январе 2025 г. ее специалисты зафиксировали многочисленные атаки, нацеленные на российские организации разных отраслей, включая финансовый сектор, ритейл, ИТ, госсектор, транспорт и логистику. В них хакеры использовали новый стилер NOVA – модификацию известного SnakeLogger. Злоумышленники похищают аутентификационные данные для дальнейшей продажи на теневых ресурсах, эти данные другие кластеры могут задействовать в целевых атаках на скомпрометированные компании.
Как поясняют в BI.ZONE Threat Intelligence, злоумышленники часто создают копии известных аредоносных программ и меняют их характеристики, чтобы обойти современные средства защиты. Именно так, путем модификации известного ПО SnakeLogger, которое применяется в 23% атак с использованием стилеров, был создан форк NOVA. Новый инструмент за счет оптимизации кода и обновления архитектуры сложнее распознать привычными средствами обнаружения.
Стилер NOVA доставляют с помощью фишинговых писем, под видом архива с договорами. Обычно в таких случаях используют двойное расширение и привычные для пользователя иконки, например, Word или PDF, скрывая от жертвы, что это исполняемый файл.
Злоумышленники не маскируют вложение с NOVA под легитимный документ, отмечают эксперты, они лишь присваивают файлу допустимое имя (типа Договор.exe). То есть ставка делается не на тщательную маскировку фишинга, а на массовость рассылок и невнимательность сотрудников, которые регулярно имеют дело с большим количеством электронных писем.
После распаковки и закрепления в системе стилер собирает сохраненные аутентификационные данные, записывает нажатия клавиш, делает снимки экрана и извлекает данные из буфера обмена.
Стилер NOVA появился в продаже в Telegram в августе 2024 г. по цене 50 долл. за месяц использования или 630 долл. за бессрочную лицензию. Разработчик также предлагает криптор, который защищает ПО от обнаружения, по цене от 60 долл.в за месяц и до 150 долл. за три месяца применения.
Для защиты от стилеров эксперты BI.ZONE рекомендуют использовать системы класса privileged access management (управление привилегированным доступом), которые поддерживают одноразовые пароли и позволяют настроить ротацию секретов для подключения к критическим элементам ИТ-инфраструктуры. Для отслеживания на теневых ресурсах скомпрометированных корпоративных учетных записей помогут порталы киберразведки Threat Intelligence, где собраны данные о скомпрометированных учетных записях по email-адресу, почтовому домену, а также по конкретному URL-адресу ресурса.