Статья Какими уловками пользовались авторы вредоносных почтовых рассылок в 2022 году

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.777
Репутация
11.595
Реакции
61.690
RUB
50
Годы пандемии изрядно изменили ландшафт почтовых угроз. Переход сотрудников на удаленную работу и неизбежный перенос большей части коммуникаций в онлайн послужил толчком для активного развития как фишинга, так и атак класса BEC.


Возросший поток деловой переписки привел к тому, что злоумышленникам стало гораздо проще маскировать свои письма среди множества легитимных посланий, а потому они активнее пытаются имитировать деловую переписку. Многие приемы социальной инженерии вроде истеричного призыва «скорее ответьте на срочное письмо» также получили новую жизнь.

✅ Основные тренды, которые мы наблюдали в 2022 году:

  • всплеск спам-рассылок, распространяющих вредоносное содержимое для заражения компьютера;

  • активное использование во вредоносных рассылках приемов социальной инженерии, характерных скорее для целевого фишинга (добавление подписей с атрибутами конкретных ведомств, использование подходящего под профиль компании контекста и делового языка, паразитирование на актуальной повестке, отсылка к реальным сотрудникам компании);

  • широкое применение спуфинга — использование почтовых адресов с доменными именами, которые отличаются от доменов реальных организаций лишь на пару символов.
В результате создатели вредоносных спам-рассылок довольно успешно маскировались под внутрикорпоративную переписку, деловую переписку между компаниями и даже под уведомления от государственных органов. Вот самые показательные примеры, встретившиеся нам за год.

➡️ Зловреды в почтовых рассылках​

Основной тренд уходящего года — маскировка вредоносной рассылки под деловую переписку. Чтобы убедить пользователя открыть вложение или загрузить размещенный по ссылке файл, злоумышленники обычно пытаются убедить получателя в том, что письмо содержит релевантную для бизнеса информацию — коммерческое предложение или, например, счета на оплату поставки товаров. Зловред при этом часто помещают в зашифрованный архив, пароль к которому указывают в теле письма.

✅ Так, например, в течение всего года мы сталкивались со следующей схемой:

Злоумышленники получали доступ к реальной деловой переписке (вероятнее всего, воруя корреспонденцию с зараженных ранее компьютеров) и отправляли всем ее участникам новые письма с вредоносными файлами или ссылками. То есть как бы развивали существующую переписку, отвечая на последнее послание. Такой трюк затрудняет отслеживание вредоносных писем и повышает вероятность того, что жертва поддастся на уловку.

В большинстве случаев при открытии вредоносного документа загружается либо троян , либо . Оба могут использоваться для кражи данных пользователей, сбора информации в корпоративной сети и распространения дополнительных зловредов, например шифровальщиков. Кроме того, Qbot позволяет также получить доступ к электронной почте и воровать письма, то есть становиться источником переписки для дальнейших атак.

К концу года тематика вредоносных рассылок становилась все оригинальнее.

Например, в начале декабря в качестве наживки начали использовать призывы поучаствовать в утилизации старой техники от имени благотворительной организации. Разумеется, для того чтобы принять участие в этом благородном деле, злоумышленники предлагали скачать файл, якобы содержащий список принимаемых устройств. По факту, разумеется, к письму прилагался вредоносный файл, спрятанный в запароленном архиве.

В рамках одной из почтовых кампаний злоумышленники под видом счетов-фактур рассылали десятки тысяч архивов с вредоносным трояном-бэкдором, который позволил бы удаленно управлять зараженным компьютером. Самое интересное, что у приложенного архива были расширения типа .r00, .r01 и так далее. Вероятно, в попытке обойти системы автоматической защиты, настроенные на определенные расширения файлов, авторы пытались выдать вложение за часть одного большого архива rar.

➡️ Рассылки от имени правительств​

Участились рассылки, имитирующие уведомления от различных министерств и других правительственных организаций. Особенно эта тенденция была заметна в русскоязычном сегменте Интернета.

Письма этого типа оформляются с учетом специфики деятельности конкретных организаций. Адреса отправителей чаще всего повторяют логику формирования почтовых адресов в соответствующих ведомствах, а вредоносное вложение маскируют под какой-нибудь профильный документ, например «комментарии по результатам совещания». В одном из таких вложений был обнаружен вредоносный код, который эксплуатировал уязвимость в модуле Microsoft Office Equation Editor — редакторе формул для офисных программ.

➡️ Паразитирование на новостной повестке​

В российском сегменте Интернета мы также видели всплеск зловредной почтовой активности, построенной на актуальной новостной повестке. Например, в октябре злоумышленники распространяли вредоносное ПО под видом повесток в рамках «частичной мобилизации». В письмах ссылались на статьи УК России, использовали геральдику и стилистику соответствующего ведомства, а саму повестку предлагали скачать по ссылке. На самом же деле ссылка вела на архив, содержащий скрипт, который создавал и запускал исполняемый файл.

Кроме того, нами была зафиксирована рассылка якобы от имени российских правоохранительных органов. В письме предлагалось скачать «новое решение», чтобы обезопасить себя от возможных угроз в Интернете, вызванных «враждебными» организациями. Однако на деле программа, которую жертва устанавливала себе на компьютер, являлась трояном-шифровальщиком.

➡️ Как оставаться в безопасности​

Схемы злоумышленников с каждым годом становятся все изощрённее, а методы мимикрии под деловую переписку — все убедительнее. Поэтому для обеспечения безопасности корпоративной инфраструктуры от атак через электронную почту следует уделять внимание не только техническим мерам, но и организационным. То есть кроме защитных решений — как на уровне корпоративного почтового сервера, так и на всех подключенных к Интернету устройствах — мы рекомендуем не забывать и о регулярном повышении уровня осведомленности сотрудников о современных киберугрозах и методах злоумышленников.


 
Сверху Снизу