25.07.2024, 11:00
Количество просмотров 901

Около 85% фишинговых сообщений приходят под видом финдокументов и официальных писем от госорганов

По данным BI.ZONE, в 2023 году с фишинговых рассылок начинались 68% атак на компании России и других стран СНГ. В первом полугодии 2024 года этот показатель вырос до 76%. При этом 79% фишинга злоумышленники маскируют под финансовую документацию, например счета и платежные документы. 8% фишинговых писем мимикрируют под договоры и соглашения, а 5% — под резюме. Еще 4% подобных рассылок приходит под видом сообщений от регуляторов.
Около 85% фишинговых сообщений приходят под видом финдокументов и официальных писем от госорганов

Фишинговые письма якобы от лица государственных органов нередко отличаются высоким уровнем юридической грамотности и могут содержать ссылки на настоящие официальные сайты. Так злоумышленники стараются усыпить бдительность пользователей. Наряду с этим они могут использовать редкое вредоносное ПО (ВПО), которое сложнее распознать с помощью стандартных инструментов. Это повышает вероятность того, что атакующий проникнет в инфраструктуру незамеченным, успеет в ней закрепиться и нанести серьезный ущерб.

Олег Скулкин, руководитель BI.ZONE Threat Intelligence:

Эти тренды прекрасно иллюстрирует недавняя серия атак на компании Казахстана. Группировка Bloody Wolf не просто рассылала жертвам очень правдоподобные фишинговые письма от имени регуляторов, но и размещала свои вредоносные программы на домене, который имитировал сайт одной из государственных структур Республики Казахстан. Под видом официального документа жертва скачивала вредоносный JAR-файл. Такие файлы используются злоумышленниками нечасто, что позволяет им обойти некоторые средства защиты.

PDF-файл во вложении письма от Bloody Wolf достоверно имитировал официальное уведомление о необходимости устранить нарушения. Кроме ссылок на вредоносные файлы, документ содержал инструкции по установке интерпретатора Java, который необходим для работы ВПО. Еще одна ссылка вела на легитимный сайт госоргана Республики Казахстан, где также опубликована такая инструкция — Java обеспечивает корректную работу государственного портала.

Вредоносная программа представляла собой коммерческий троян STRRAT, также известный как Strigoi Master. Он позволяет злоумышленнику удаленно выполнять команды на скомпрометированном компьютере, управлять файлами и браузерами, перехватывать нажатия клавиш и т. д. Функциональные особенности Strigoi Master принципиально не отличаются от возможностей аналогичных средств удаленного доступа. Преимущество данного ВПО в том, что его сложнее распознать из-за использования редких типов файлов.


Рубрика:
{}Безопасность
Новости в вашей почте
mail

PLUSworld в соцсетях:
telegram
vk
dzen
youtube
ЕЩЁ НОВОСТИ