Фишинг по вторникам: эксперты F.A.С.С.T. обозначили тенденции вредоносных рассылок
Как выглядят вредоносные письма
По данным аналитиков Центра кибербезопасности компании F.A.С.С.T., больше всего фишинговых писем злоумышленники отправляют в начале недели, пик рассылок приходится на вторник — 19,7% от всех писем за неделю. После среды происходит спад, а меньше всего вредоносных сообщений отправляется в воскресенье — 7,1%.
В 2023 году киберпреступники в массовых фишинговых рассылках, которые были перехвачены решением Managed XDR, использовали вложения как основной способ доставки ВПО на конечные устройства — их доля составила более 98%. Доля писем с вредоносными ссылками продолжает медленно сокращаться с составила в 2023 году чуть более 1,5%. Ссылка на загрузку ВПО с внешнего ресурса в письме является дополнительным шагом в цепочке первичного заражения, который заметен для традиционных средств защиты. Пользователей также реже настораживают вложения, приложенные к письму.
Распаковка фишинговой рассылки
Как правило, размер вложения в фишинговом письме варьируется от 32 Кб до 2 Мб. Самый распространенный диапазон — файл от 512 Кб до 1 Мб, их доля в фишинговых рассылках составляет более 36%.
Злоумышленники в основном «упаковывают» вредоносы в архивы форматов .rar (23,3%), .zip (21,1%), .z (7,7%). Внутри архивов в подавляющем большинстве случаев находятся исполняемые файлы в PE-формате (Portable Executable).
В прошлом году злоумышленники заметно реже встраивали ВПО в офисные документы — таблицы Excel и текстовые документы Word. По сравнению с 2022 годом доля рассылок файлов в формате .xls сократилась с 15,8% до 4,4%, а .doc — c 11,2% до 4,5%. Такой способ распространения вредоносов становится все менее эффективным среди злоумышленников из-за улучшения защиты в Microsoft Office и всё большей осведомленности пользователей о возможных угрозах.
«Тренд последнего года в фишинговых рассылках — это качественно составленные продуманные письма-приманки, которые еще пару лет назад могли себе позволить только отдельные профессиональные участники киберпреступного мира или продвинутые группировки, в том числе прогосударственные, в рамках проведения целевых атак. — рассказывает Ярослав Каргалев, руководитель Центра кибербезопасности компании F.A.С.С.T. — Сейчас всё чаще фишинговые письма качественно эксплуатируют новостную повестку и несут в себе многочисленные стилеры, иногда специально адаптированные под конкретные цели злоумышленников. Украденные с их помощью данные могут быть проданы или сразу использованы для развития атаки на организацию».
Что скрыто между строк
Самыми часто встречающимися вредоносными программами в письмах в 2023 году стали шпионская программа Agent Tesla (в 39,4% вредоносных рассылок) и стилеры FormBookFormgrabber (22,4%) и Loki PWS (7,4%).
Agent Tesla на протяжении нескольких лет занимает уверенную лидирующую позицию вредоносных семейств в фишинговых рассылках, атакуя пользователей по всему миру. Все остальные популярные вредоносные семейства, как и сам Agent Tesla, специализируются на хищении учетных записей и шпионаже.
Деятельность именно таких вредоносных программ привела к текущему количеству громких инцидентов с утечками данных. Скомпрометированная учетная запись используется злоумышленниками для первоначального доступа, проведения разведки и дальнейшего развития атаки в зависимости от мотива и целей атакующих.