ИБ-эксперты предупреждают о волне атак на корпоративных пользователей. Взломщики встраиваются в уже существующую деловую переписку, добавляя нового трояна-загрузчика PikaBot. Программа пока обходит пользователей стран СНГ, но ситуация может измениться в любой момент.
Новую изощренную схему подсаживания опасных программ в корпоративную почту обнаружили эксперты “Лаборатории Касперского”.
Особенность массовой рассылки в том, что сообщения приходят якобы от пользователей, с которыми получатели уже вели деловую переписку. Злоумышленники вклиниваются в уже существующий диалог.
Тема письма может указывать на запись аудиоконференции, информацию о встрече или деталях по реальному проекту. Во всех письмах содержится ссылка, за которой скрывается вредонос. Если получатель переходит по ней, на устройство скачивается троян PikaBot.
Волна началась в десятых числах мая, отметили эксперты. Пик атаки пришёлся на период с 15 по 18 мая. За несколько дней было зафиксировано почти 5 тысяч подобных писем.
“Семейство PikaBot умеет проверять языковые настройки целевой системы”, — подчеркивает исследователь угроз “Лаборатории Касперского” Артем Ушков.
Если троянец видит русский, белорусский, таджикский, словенский, грузинский, казахский и узбекский языки, атака прекращается.
“Может показаться, что PikaBot пока не представляет серьёзной угрозы для российских пользователей, однако в России уже было зафиксировано существенное количество атак, и ситуация может измениться в любой момент”, — предупреждает Ушков.
Вместо PikaBot может быть загружен более деструктивный вредоносный файл.
PikaBot — новое семейство зловредов. Чаще всего его пока используют для скрытой установки других вредоносных семейств, а также для исполнения произвольного кода командной строки, полученной с удалённого сервера.
В атаках PikaBot используются те же методы, а иногда та же инфраструктура, что и для распространения банковского трояна Qbot — Anti-Malware.ru писал о нем в апреле. Он способен извлекать пароли и куки из браузеров, воровать письма, перехватывать трафик и давать операторам удалённый доступ к заражённой системе.
“В последние годы злоумышленники всё чаще маскируют вредоносные и фишинговые рассылки под деловую переписку”, — предупреждает руководитель группы защиты от почтовых угроз в “Лаборатории Касперского” Андрей Ковтун.
Текст из реальных писем помогает сделать такие сообщения более убедительными. Иногда в поле отправителя мошенники добавляют имя настоящего адресанта, хотя внимательный пользователь заметит, что электронный адрес, с которого отправлено письмо, отличается.
Часто сообщения относятся к переписке, завершившейся несколько лет назад.
Чтобы не стать жертвой таких атак, “Лаборатория Касперского” рекомендует пользователям проверять адрес, с которого пришло письмо, и не пересылать сообщения третьим лицам, не перепроверив информацию.
Компаниям же советуют проводить тренинги по кибербезопасности для сотрудников, обучать их распознавать техники социальной инженерии, а также установить надёжное защитное решение, которое автоматически будет отправлять подобные письма в спам.