Спам и фишинг

Loki Bot на краже корпоративных паролей

С начала июля мы наблюдаем вредоносную спам-рассылку, нацеленную на корпоративные почтовые ящики. Обнаруженные письма содержат вложение с расширением ISO, которое детектируется защитными решениями «Лаборатории Касперского» как Loki Bot. Главной задачей этого зловреда является кража паролей — из браузеров, мессенджеров, почтовых и FTP-клиентов, а также криптовалютных кошельков. Все собранное Loki Bot отправляет своим хозяевам.

ISO-образы представляют собой копии оптических дисков, которые можно использовать точно так же, как и оригиналы, но уже в виртуальном CD/DVD-приводе. Если раньше для открытия образов требовалось дополнительное ПО, то сейчас операционные системы поддерживают этот формат «из коробки» и, чтобы получить доступ к содержимому файла, пользователю достаточно дважды кликнуть по нему. Во вредоносном спаме такие файлы используются в качестве контейнера для доставки вредоносного ПО и встречаются довольно редко.

Как мы уже упомянули, мошенники рассылали Loki Bot на электронные адреса сотрудников и общие адреса компаний, которые могли быть получены из открытых источников, а также взяты непосредственно на сайтах самих организаций.

Стоит отметить, что письма в рамках рассылки были достаточно разнообразны:

  1. Поддельные уведомления от известных компаний
    Письма от имени известных компаний являются одной из самых распространенных уловок в арсенале мошенников. Отметим, что раньше фальшивые рассылки от имени известных компаний в основном использовались для атак на простых пользователей и клиентов организаций, сейчас все чаще мишенями становятся сами компании.
  1. Поддельные уведомления, содержащие финансовые документы
  2. Мошенники также выдавали вредоносные файлы за финансовые документы (счета, переводы, платежи и пр.). Этот прием часто встречается во вредоносном спаме, и обычно текст таких сообщений достаточно лаконичен, а в теме указывается, что именно находится во вложении.

  1. Поддельные письма с заказами/предложениями
  2. Вредоносное вложение можно встретить в письмах-уведомлениях о якобы сделанном заказе, либо в сообщениях с предложением каких-либо товаров и услуг.

Каждый год мы наблюдаем увеличение количества спам-атак на корпоративный сектор. В погоне за частной информацией компаний (интеллектуальной собственностью, аутентификационными данными, базами данных, банковскими счетами и т. п.) злоумышленники используют фишинговые и вредоносные рассылки, в том числе имитирующие деловую переписку. Поэтому сегодня меры по обеспечению безопасности компании должны обязательно включать не только защиту на техническом уровне, но и обучение самих сотрудников, так как их решения могут иметь непоправимые последствия для бизнеса.

Loki Bot на краже корпоративных паролей

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике