Выявлена новая таргетированная вредоносная рассылка для сбора информации

  

9 Июль 2024 (13:56)

Выявлена новая таргетированная вредоносная рассылка для сбора информации

Эксперты «Лаборатории Касперского» выявили новую волну таргетированных атак с целью сбора конфиденциальной информации: злоумышленники начали отправлять вредоносный файл, имитирующий документ с названием «Применение перспективного многофункционального эшелонированного воздушного комплекса на базе БПЛА», сообщает ЛК во вторник.

В действительности этот файл имеет расширение .scr и является инсталлятором. Для отвлечения внимания пользователя он извлекает из себя и открывает документ PDF на тему БПЛА. Параллельно с этим он в скрытом режиме скачивает несколько архивов с дополнительной вредоносной нагрузкой и консольную утилиту для работы с архивами формата RAR. Консольная утилита используется для распаковки скачанных архивов, а также для сбора интересующих злоумышленников файлов.

Злоумышленники собирают в архивы офисные документы с расширениями *.doc и *.docx с дисков C:\, D:\ и E:\; кроме того, их интересует все содержимое папки «Telegram Desktop\tdata», в которой хранятся данные десктопной версии мессенджера Telegram. Сформированные архивы с информацией впоследствии отправляются на почту злоумышленнику с помощью еще одной консольной утилиты, извлечённой из скачанного архива, говорится в сообщении.

Помимо этого, атакующие пользуются утилитой восстановления паролей Web Browser Pass View для похищения учетных данных, сохраненных в браузерах, а также тайно от владельца устанавливают в систему легитимную программу для мониторинга активности пользователя.

Она способна перехватывать и записывать нажатие клавиш, мониторить онлайн-активность, делать скриншоты, а главное, составлять из перехваченных данных отчёты и отправлять их на электронную почту.

Как отмечают в ЛК, подобные вредоносные рассылки, в которых используется тот же набор инструментов, встречаются как минимум с 2019 года. По большому счету различия состоят в теме документа-приманки и, соответственно, названии вредоносного инсталлятора. До конца 2023 года название вредоносного scr-файла чаще всего включало фразу «1C.Предприятие Платежная накладная», а в 2024 году вложения рассылались с разнообразными именами, например «Проект ТТТ 26.2024-2.scr», «пневмокатапульта с самолетом.step.scr», «аналитическая справка.pdf.scr».

Для того, чтобы защитить компанию от вредоносных рассылок, нужно в первую очередь периодически повышать осведомленность сотрудников о современных киберугрозах и уловках киберпреступников.

Кроме того, все рабочие устройства должны быть снабжены надежными защитными решениями, проверяющими запускаемые файлы и блокирующими вредоносный код.