«Лаборатория Касперского»
Эксперты «Лаборатории Касперского» предупреждают о волне атак на корпоративных пользователей, в том числе в российских организациях. Особенность этой массовой рассылки в том, что сообщения приходят якобы от людей, с которыми получатели уже вели деловую переписку. Злоумышленники вклиниваются в уже существующий диалог. Тема письма указывает, что внутри может находиться, в том числе, запись аудиоконференции, информация о встрече или детали по реальному проекту. Во всех этих письмах содержится ссылка, за которой скрывается вредоносное ПО. Если получатель переходит по ней, на устройство загружается троянец-загрузчик PikaBot.
Волна началась в десятых числах мая, пик атаки пришёлся на период с 15 по 18 мая. За несколько дней эксперты зафиксировали* почти 5 тыс. подобных писем.
PikaBot — новое семейство зловредов. На сегодняшний день оно применяется в основном для скрытой установки других вредоносных семейств, а также для исполнения произвольного кода командной строки, полученной с удалённого сервера. В атаках PikaBot используются те же методы и иногда та же инфраструктура, что и для распространения банковского троянца Qbot, способного извлекать пароли и куки из браузеров, воровать письма, перехватывать трафик, давать операторам удалённый доступ к заражённой системе.
Семейство PikaBot умеет проверять языковые настройки целевой системы. Злоумышленников интересуют русский, белорусский, таджикский, словенский, грузинский, казахский, узбекский языки. Может показаться, что PikaBot пока не представляет серьёзной угрозы для российских пользователей, однако в России уже было зафиксировано существенное количество атак, и ситуация может измениться в любой момент, так как вместо PikaBot может быть загружен более деструктивный вредоносный файл.
Иногда в поле отправителя мошенники добавляют имя настоящего адресата, хотя внимательный пользователь заметит, что электронный адрес, с которого отправлено письмо, отличается. Часто сообщения относятся к переписке, завершившейся несколько лет назад.
Чтобы не стать жертвой атак с использованием реальной корпоративной переписки, компания рекомендует пользователям:
- внимательно проверять адрес, с которого пришло письмо, и не пересылать сообщения третьим лицам, не перепроверив содержащуюся в них информацию;
- повышать уровень цифровой грамотности.
* Данные основаны на анонимизированной статистике срабатывания решений «Лаборатории Касперского» в период с 12 по 23 мая 2023 года.