Спам и фишинг

Loki Bot на краже корпоративных паролей

С начала июля мы наблюдаем вредоносную спам-рассылку, нацеленную на корпоративные почтовые ящики. Обнаруженные письма содержат вложение с расширением ISO, которое детектируется защитными решениями «Лаборатории Касперского» как Loki Bot. Главной задачей этого зловреда является кража паролей — из браузеров, мессенджеров, почтовых и FTP-клиентов, а также криптовалютных кошельков. Все собранное Loki Bot отправляет своим хозяевам.

ISO-образы представляют собой копии оптических дисков, которые можно использовать точно так же, как и оригиналы, но уже в виртуальном CD/DVD-приводе. Если раньше для открытия образов требовалось дополнительное ПО, то сейчас операционные системы поддерживают этот формат «из коробки» и, чтобы получить доступ к содержимому файла, пользователю достаточно дважды кликнуть по нему. Во вредоносном спаме такие файлы используются в качестве контейнера для доставки вредоносного ПО и встречаются довольно редко.

Как мы уже упомянули, мошенники рассылали Loki Bot на электронные адреса сотрудников и общие адреса компаний, которые могли быть получены из открытых источников, а также взяты непосредственно на сайтах самих организаций.

Стоит отметить, что письма в рамках рассылки были достаточно разнообразны:

  1. Поддельные уведомления от известных компаний
    Письма от имени известных компаний являются одной из самых распространенных уловок в арсенале мошенников. Отметим, что раньше фальшивые рассылки от имени известных компаний в основном использовались для атак на простых пользователей и клиентов организаций, сейчас все чаще мишенями становятся сами компании.
  1. Поддельные уведомления, содержащие финансовые документы
  2. Мошенники также выдавали вредоносные файлы за финансовые документы (счета, переводы, платежи и пр.). Этот прием часто встречается во вредоносном спаме, и обычно текст таких сообщений достаточно лаконичен, а в теме указывается, что именно находится во вложении.

  1. Поддельные письма с заказами/предложениями
  2. Вредоносное вложение можно встретить в письмах-уведомлениях о якобы сделанном заказе, либо в сообщениях с предложением каких-либо товаров и услуг.

Каждый год мы наблюдаем увеличение количества спам-атак на корпоративный сектор. В погоне за частной информацией компаний (интеллектуальной собственностью, аутентификационными данными, базами данных, банковскими счетами и т. п.) злоумышленники используют фишинговые и вредоносные рассылки, в том числе имитирующие деловую переписку. Поэтому сегодня меры по обеспечению безопасности компании должны обязательно включать не только защиту на техническом уровне, но и обучение самих сотрудников, так как их решения могут иметь непоправимые последствия для бизнеса.

Loki Bot на краже корпоративных паролей

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике