«Лаборатория Касперского» о рассылках по российским учреждениям

Как сообщила «Лаборатория Касперского», летом 2023 г. ее эксперты выявили массовые вредоносные рассылки по десяткам российских учреждений из государственного и индустриального сектора. Рассылки начались в июне 2023 г. Злоумышленники отправляли письма якобы от регулятора с вложенным вредоносным архивом, запускавшим вредоносный скрипт, который с помощью нескольких модулей пытался украсть данные с зараженного устройства: снимки экрана, документы, пароли из браузеров, информацию из буфера обмена.

При открытии вредоносного архива из такого сообщения на устройстве автоматически запускается скрипт [NSIS].nsi, который открывает легитимный подложный документ в формате PDF, чтобы отвлечь внимание жертвы. Одновременно скрипт запускает загрузку и установку вредоносного бэкдора в скрытом окне, который он получает с веб-ресурса. При этом название сайта имитирует сайт официального ведомства. После запуска вредоносное ПО проверяет доступ в интернет и пытается подключиться к легитимным веб-ресурсам – зарубежным СМИ. Затем он проверяет зараженное устройство на наличие ПО и инструментов, которые могли бы обнаружить его присутствие, например, песочниц или виртуальных сред. В случае наличия хотя бы одной бэкдор прекращал свою активность. Если же все проверки были пройдены, он подключался к серверу атакующих и загружал модули, которые позволяли красть информацию из буфера обмена, делать снимки экрана, находить пользовательские документы в популярных расширениях (например, doc, .docx, .pdf, .xls, .xlsx). Все данные передавались на сервер управления.

Новую версию описанного бэкдора исследователи заметили в середине августа этого же года. Используемая цепочка заражения не изменилась, вредоносный скрипт-загрузчик был идентичным. Но злоумышленники убрали проверку доступа в интернет через обращение к легитимным веб-ресурсам: теперь вредоносная программа сразу же подключалась к серверу управления. Также появился модуль, который позволял красть пароли из браузеров. Увеличилось также количество проверок среды на наличие инструментов, способных обнаружить вредоносную активность.

Как комментируют в «Лаборатории Касперского», фишинговые письма – один из популярных способов проникновения злоумышленников в инфраструктуру. Атакующие стремятся использовать правдоподобные легенды, легитимные документы и применять все более сложные тактики для скрытия своей деятельности. Так, исполнение вредоносного кода с помощью .nsi скрипта усложняет анализ вредоносной активности. Кроме того, атакующие постоянно ищут новые изощренные способы обойти защитные решения, поэтому важно оставаться настороже и обращать внимание на любые подозрительные детали даже в деловых переписках.