Спам и фишинг

Loki Bot на краже корпоративных паролей

С начала июля мы наблюдаем вредоносную спам-рассылку, нацеленную на корпоративные почтовые ящики. Обнаруженные письма содержат вложение с расширением ISO, которое детектируется защитными решениями «Лаборатории Касперского» как Loki Bot. Главной задачей этого зловреда является кража паролей — из браузеров, мессенджеров, почтовых и FTP-клиентов, а также криптовалютных кошельков. Все собранное Loki Bot отправляет своим хозяевам.

ISO-образы представляют собой копии оптических дисков, которые можно использовать точно так же, как и оригиналы, но уже в виртуальном CD/DVD-приводе. Если раньше для открытия образов требовалось дополнительное ПО, то сейчас операционные системы поддерживают этот формат «из коробки» и, чтобы получить доступ к содержимому файла, пользователю достаточно дважды кликнуть по нему. Во вредоносном спаме такие файлы используются в качестве контейнера для доставки вредоносного ПО и встречаются довольно редко.

Как мы уже упомянули, мошенники рассылали Loki Bot на электронные адреса сотрудников и общие адреса компаний, которые могли быть получены из открытых источников, а также взяты непосредственно на сайтах самих организаций.

Стоит отметить, что письма в рамках рассылки были достаточно разнообразны:

  1. Поддельные уведомления от известных компаний
    Письма от имени известных компаний являются одной из самых распространенных уловок в арсенале мошенников. Отметим, что раньше фальшивые рассылки от имени известных компаний в основном использовались для атак на простых пользователей и клиентов организаций, сейчас все чаще мишенями становятся сами компании.
  1. Поддельные уведомления, содержащие финансовые документы
  2. Мошенники также выдавали вредоносные файлы за финансовые документы (счета, переводы, платежи и пр.). Этот прием часто встречается во вредоносном спаме, и обычно текст таких сообщений достаточно лаконичен, а в теме указывается, что именно находится во вложении.

  1. Поддельные письма с заказами/предложениями
  2. Вредоносное вложение можно встретить в письмах-уведомлениях о якобы сделанном заказе, либо в сообщениях с предложением каких-либо товаров и услуг.

Каждый год мы наблюдаем увеличение количества спам-атак на корпоративный сектор. В погоне за частной информацией компаний (интеллектуальной собственностью, аутентификационными данными, базами данных, банковскими счетами и т. п.) злоумышленники используют фишинговые и вредоносные рассылки, в том числе имитирующие деловую переписку. Поэтому сегодня меры по обеспечению безопасности компании должны обязательно включать не только защиту на техническом уровне, но и обучение самих сотрудников, так как их решения могут иметь непоправимые последствия для бизнеса.

Loki Bot на краже корпоративных паролей

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике