22/04/22
Цель — вклиниться в корпоративную переписку
«Лаборатория Касперского» предупредила об обнаруженном всплеске сложных вредоносных рассылок, нацеленных на организации в разных странах, в том числе в России.
Цель злоумышленников — вклиниться в корпоративную переписку и ответным письмом убедить пользователей скачать зловред на свой компьютер.
Так атакующие пытаются получить доступ к устройствам пользователей. Согласно данным «Лаборатории Касперского», с февраля по март 2022 года количество таких писем выросло в 10 раз, увеличившись примерно с 3 до 30 тысяч. Вредоносные письма приходят на разных языках, в том числе на английском, немецком, французском, итальянском, польском, венгерском, норвежском, словенском.
Одна из схем, которую зафиксировали эксперты, выглядит так: в ветке уже имеющейся переписки пользователи получают письмо, в котором содержится вложение или ссылка, часто ведущая на какой-либо популярный облачный сервис для хранения файлов. Задача письма — убедить получателей пройти по ссылке, скачать заархивированный документ и открыть его, используя пароль, указанный в тексте, или открыть вложение, прикреплённое к письму.
Для этого злоумышленники обычно пишут, что документ содержит важные данные, которые получатель давно запрашивал: например, платёжную форму или коммерческое предложение.
Как только жертва открывает архив, содержащийся в нём троян скачивает и запускает динамическую библиотеку Qbot. В ряде случаев вредоносные документы загружали троян Emotet.
Попавший на компьютер зловред может украсть учётные данные пользователя, шпионить за деятельностью компании, распространяться по сети и устанавливать программы-шифровальщики на другие ПК, получать доступ к электронным письмам. Распространяемое таким образом вредоносное ПО может также получать доступ к электронным письмам, которые злоумышленники могут использовать для дальнейшей организации вредоносной почтовой рассылки.
iXBT
