Loki Bot на краже корпоративных паролей

С начала июля мы наблюдаем вредоносную спам-рассылку, нацеленную на корпоративные почтовые ящики. Обнаруженные письма содержат вложение с расширением ISO, которое детектируется защитными решениями «Лаборатории Касперского» как Loki Bot. Главной задачей этого зловреда является кража паролей — из браузеров, мессенджеров, почтовых и FTP-клиентов, а также криптовалютных кошельков. Все собранное Loki Bot отправляет своим хозяевам.

ISO-образы представляют собой копии оптических дисков, которые можно использовать точно так же, как и оригиналы, но уже в виртуальном CD/DVD-приводе. Если раньше для открытия образов требовалось дополнительное ПО, то сейчас операционные системы поддерживают этот формат «из коробки» и, чтобы получить доступ к содержимому файла, пользователю достаточно дважды кликнуть по нему. Во вредоносном спаме такие файлы используются в качестве контейнера для доставки вредоносного ПО и встречаются довольно редко.

Как мы уже упомянули, мошенники рассылали Loki Bot на электронные адреса сотрудников и общие адреса компаний, которые могли быть получены из открытых источников, а также взяты непосредственно на сайтах самих организаций.

Стоит отметить, что письма в рамках рассылки были достаточно разнообразны:

1. Поддельные уведомления от известных компаний
   Письма от имени известных компаний являются одной из самых распространенных уловок в арсенале мошенников. Отметим, что раньше фальшивые рассылки от имени известных компаний в основном использовались для атак на простых пользователей и клиентов организаций, сейчас все чаще мишенями становятся сами компании.

2. Поддельные уведомления, содержащие финансовые документы

Мошенники также выдавали вредоносные файлы за финансовые документы (счета, переводы, платежи и пр.). Этот прием часто встречается во вредоносном спаме, и обычно текст таких сообщений достаточно лаконичен, а в теме указывается, что именно находится во вложении.

3. Поддельные письма с заказами/предложениями

Вредоносное вложение можно встретить в письмах-уведомлениях о якобы сделанном заказе, либо в сообщениях с предложением каких-либо товаров и услуг.

Каждый год мы наблюдаем увеличение количества спам-атак на корпоративный сектор. В погоне за частной информацией компаний (интеллектуальной собственностью, аутентификационными данными, базами данных, банковскими счетами и т. п.) злоумышленники используют фишинговые и вредоносные рассылки, в том числе имитирующие деловую переписку. Поэтому сегодня меры по обеспечению безопасности компании должны обязательно включать не только защиту на техническом уровне, но и обучение самих сотрудников, так как их решения могут иметь непоправимые последствия для бизнеса.