Спам и фишинг

Массовая рассылка с элементами целевого спама

Массовые вредоносные рассылки обычно достаточно примитивны и не отличаются разнообразием — весь контент умещается в несколько предложений, в которых пользователю предлагают скачать архив якобы с какими-нибудь срочными счетами или неоплаченными штрафами. В письмах может не быть ни подписей, ни логотипов, а текст может содержать орфографические и другие ошибки. Такие рассылки могут быть нацелены как на пользователей, так и на крупные компании, отличия в них не особо существенны.

Пример письма из массовой вредоносной рассылки

Пример письма из массовой вредоносной рассылки

Но в последнее время ситуация начала меняться: злоумышленники стали использовать в массовых рассылках приемы, характерные для целевых атак. В частности, они рассылают письма от имени существующих компаний, копируют стиль письма и подпись отправителя.

Письмо от «клиента» с сюрпризом

Не так давно мы обнаружили интересное письмо. В нем якобы потенциальный клиент из Малайзии на довольно странном английском просит получателя ознакомиться с требованиями фирмы-заказчика и вернуться к нему с необходимыми документами. Общее оформление письма соответствует корпоративным стандартам переписки — присутствует логотип реально существующей компании, подпись, в которой указана информация об отправителе. В целом запрос выглядит легитимным, а языковые ошибки легко списать на тот факт, что представитель компании-клиента — не носитель английского.

Письмо с вредоносным вложением якобы от потенциального заказчика из Малайзии

Письмо с вредоносным вложением якобы от потенциального заказчика из Малайзии

Смущает в этом письме только адрес отправителя <newsletter@trade***.com>: имя newsletter обычно используется для рассылки новостей, а не для переписки по закупкам. Кроме того, домен отправителя не соответствует названию компании, указанному на логотипе.

В другом письме предполагаемый клиент из Болгарии хочет уточнить у продавца, есть ли нужный товар в наличии, и обсудить детали продажи. Как и прошлом письме, список интересующих его товаров якобы находится во вложении. При этом сомнения, опять же, может вызвать только адрес отправителя, который находится не на болгарском, а на греческом домене, никак не связанном с компанией, которой притворяются злоумышленники.

Письмо с вредоносным вложением якобы от потенциального клиента из Болгарии

Письмо с вредоносным вложением якобы от потенциального клиента из Болгарии

Объединяет эти письма не только схожий сценарий рассылки и тот факт, что по содержанию они не похожи на автоматически сгенерированные. Изучив заголовки писем, мы выяснили, что они имеют одну и ту же структуру: последовательность заголовков, формат идентификатора сообщения MSGID и почтовый клиент совпадают. Кроме того, письма приходят с ограниченного набора IP-адресов. Это означает, что они являются частью одной большой вредоносной почтовой кампании.

Сравнение почтовых заголовков двух вредоносных писем

Сравнение почтовых заголовков двух вредоносных писем

В отличие от IP-адресов и заголовков, содержание писем довольно вариативно. Злоумышленники рассылают вредоносный архив от имени множества разных компаний, меняется и сам текст «запроса» к жертве. То есть авторы рассылки уделили достаточно много внимания подготовке, что нехарактерно для таких массовых кампаний.

Статистика

С апреля по август наши решения обнаружили 739 749 писем, относящихся к этой кампании. Рассылка достигла пика в июне, когда мы зафиксировали 194 100 писем, а затем пошла на спад: в июле мы выявили 178 510 писем, а в августе — 104 991 письмо.

Динамика числа вредоносных писем, апрель — август 2022 г. (скачать)

Полезная нагрузка: зловред Agensla (Agent Tesla)

Мы проанализировали содержимое архивов из спам-писем и выяснили, что в них содержится один из двух уникальных файлов, относящихся к одному семейству. Это распространенное вредоносное ПО Agent Tesla, написанное на .NET и известное с 2014 года. Его основная цель — получить сохраненные в браузерах и других приложениях пароли и отправить их злоумышленнику. Чаще всего зловред пересылает данные по электронной почте, но существуют и версии, отправляющие их в приватный чат в Telegram, на созданный злоумышленником сайт или FTP-сервер. В текущей рассылке распространяется одна из последних версий Agent Tesla, которая умеет извлекать данные из следующих приложений:

  • Браузеры: Chrome, Edge, Firefox, Opera, 360 Browser, 7Star, Амиго, Brave, CentBrowser, Chedot, Chromium, Citrio, Cốc Cốc, Comodo Dragon, CoolNovo, Coowon, Elements Browser, Epic Privacy, Iridium Browser, Комета, Liebao Browser, Orbitum, QIP Surf, Sleipnir 6, Спутник, Torch Browser, Uran, Vivaldi, Яндекс.Браузер, QQ Browser, Cyberfox, IceDragon, Pale Moon, SeaMonkey, Waterfox, IceCat, K-Meleon.
  • Почтовые клиенты: Becky!, Opera Mail, Foxmail, Thunderbird, Claws, Outlook, The Bat!, eM Client, Mailbird, IncrediMail, Postbox, Pocomail.
  • FTP/SCP-клиенты: WinSCP, WS_FTP, FTPGetter, SmartFTP, FTP Navigator, Core FTP.
  • Базы данных: MySQL Workbench.
  • Клиенты удаленного администрирования: RealVNC, TightVNC, TigerVNC, UltraVNC, Windows RDP, cFTP.
  • Vpn: NordVPN, OpenVPN.
  • Мессенджеры: Psi/Psi+, Trillian.

Agent Tesla также может делать снимки экрана, перехватывать буфер обмена и записывать нажатия клавиш.

География атак Agent Tesla

Agent Tesla атакует пользователей по всему миру. С мая по август 2022 года наибольшую активность этого зловреда мы наблюдали в Европе, Азии и Латинской Америке. Большинство пострадавших пользователей — 20 941 — находилось в Мексике. На втором месте — Испания, где мы обнаружили попытки заражения на устройствах 18 090 пользователей. На третьем — Германия, где было затронуто 14 880 пользователей.

TOP 10 стран и территорий по числу атакованных пользователей:

Страна/территория Число атакованных пользователей
Мексика 20 941
Испания 18 090
Германия 14 880
Турция 13 326
Россия 12 739
Италия 12 480
Малайзия 10 092
Вьетнам 9 760
Бразилия 8 851
Португалия 8 739

Вывод

Обнаруженная рассылка наглядно показывает, что злоумышленники могут тщательно готовить даже массовые атаки. Письма, которые мы проанализировали, представляют собой качественные подделки под деловые предложения от реально существующих компаний. Спам-рассылку выдает только неуместный адрес отправителя. С большой вероятностью эти письма составлялись и рассылались вручную, при этом наши решения обнаруживали более сотни тысяч таких писем в месяц, а мишенью рассылки были организации по всему миру.

В качестве полезной нагрузки злоумышленники доставляют вредоносное ПО, способное красть учетные данные из внушительного списка приложений. Впоследствии эту информацию могут выставить на продажу на форумах в дарквебе и использовать уже в целевых атаках на организации. При этом стоит отметить, что Agent Tesla — давно известный стилер, который детектирует большинство защитных решений. Продукты «Лаборатории Касперского» присваивают ему вердикт Trojan-PSW.MSIL.Agensla.

Индикаторы компрометации

MD5 архивов-вложений:

ddc607bb993b94c543c63808bebf682a
862adb87b0b894d450f8914a353e3e9c
a1ae8b0d794af648908e0345204ea192
9d0364e1f625edb286b0d5541bb15357
eee70de3ac0dc902b99ed33408e646c9

MD5 исполняемого файла и информация о почтовых аккаунтах злоумышленников, с которых и на которые отправляются украденные образцом данные:

64011a7871abb873c822b8b99082e8ab
Mail from: info(a)essentialapparatus.co.ke
Password: Info@2018
Mail to: sales1.nuozhongsteel(a)gmail.com
Mail server: mail.essentialapparatus.co.ke:587

b012cb8cfee0062632817d12d43f98b4
Mail from: quality(a)keeprojects.in
Password: quality#@!
Mail to: quality(a)keeprojects.in
Mail server: mail.keeprojects.in:587

Массовая рассылка с элементами целевого спама

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике