Вредоносное ПО под видом повесток
По сообщению «Лаборатории Касперского», в начале октября была зафиксирована целевая атака на российские организации: злоумышленники разослали несколько сотен вредоносных писем, касающихся темы частичной мобилизации. Как считают эксперты «Лаборатории Касперского», анализ тактик и инструментов позволяет предположить, что за кампанией стоит группа XDSpy.
В рассылавшихся электронных письмах говорится, что в связи с неполучением повестки с указанным номером человека призывают срочно явиться в назначенное место и время. Более подробная информация якобы указана в повестке в формате PDF, которую необходимо скачать по ссылке. Письмо тщательно подготовлено и выглядит правдоподобно: содержит ссылки на статьи УК РФ, геральдику и стилистику соответствующего ведомства. В тексте злоумышленники угрожали возможными штрафами и уголовной ответственностью. Такие методы характерны для фишинговых рассылок и призваны заставить пользователя действовать быстро и необдуманно.
Ссылка в письме ведет на архив с исполняемым скриптом с расширением WSF. Если открыть файл, то он для отвода глаз скачает и отобразит в браузере PDF-документ, имитирующий отсканированную повестку, но параллельно создаст файл AnalysisLinkManager.exe во временной папке и запустит его. Используемое вредоносное ПО и техники имеют множество сходств с активностью группы XDSpy. В частности, с версиями прошлых лет совпадают исходный код вредоносного WSF-скрипта и способы запуска, а также частично названия файлов. Цели XDSpy – шпионаж, кража документов и других файлов, а также данных для доступа к корпоративным почтовым ящикам.
В этой кампании, отмечают в «Лаборатории Касперского», используется ряд техник, позволяющих злоумышленникам проникнуть и закрепиться в системе: таргетированные фишинговые рассылки, имитация писем регуляторов, использование актуальной новостной повестки, вывод на экран изображения, которое ожидает пользователь, – это традиционно для XDSpy. Такие атаки непросто обнаружить, поэтому компаниям важно внедрять комплексные системы защиты и обучать сотрудников правилам кибербезопасности.