Поделиться
Откройте, PikaBot: «Лаборатория Касперского» обнаружила глобальную вредоносную рассылку на сотрудников компаний
Эксперты «Лаборатории Касперского» предупреждают о волне атак на корпоративных пользователей, в том числе в российских организациях. Особенность этой массовой рассылки в том, что сообщения приходят якобы от людей, с которыми получатели уже вели деловую переписку. Злоумышленники вклиниваются в уже существующий диалог. Тема письма указывает, что внутри может находиться в том числе запись аудиоконференции, информация о встрече или детали по реальному проекту. Во всех этих письмах содержится ссылка, за которой скрывается вредоносное ПО. Если получатель переходит по ней, на устройство загружается троянец-загрузчик PikaBot. Об этом CNews сообщили представители «Лаборатории Касперского».
Волна началась в десятых числах мая 2023 г., пик атаки пришелся на период с 15 по 18 мая 2023 г. За несколько дней эксперты зафиксировали почти 5000 подобных писем.
PikaBot — новое семейство зловредов. На сегодняшний день оно применяется в основном для скрытой установки других вредоносных семейств, а также для исполнения произвольного кода командной строки, полученной с удаленного сервера. В атаках PikaBot используются те же методы и иногда та же инфраструктура, что и для распространения банковского троянца Qbot, способного извлекать пароли и куки из браузеров, воровать письма, перехватывать трафик, давать операторам удаленный доступ к зараженной системе.
«Семейство PikaBot умеет проверять языковые настройки целевой системы. Злоумышленников интересуют русский, белорусский, таджикский, словенский, грузинский, казахский, узбекский. Если зловред „видит” эти языки, то атака прекращается. Может показаться, что PikaBot пока не представляет серьезной угрозы для российских пользователей, однако в России уже было зафиксировано существенное количество атак и ситуация может измениться в любой момент, так как вместо PikaBot может быть загружен более деструктивный вредоносный файл», — сказал Артем Ушков, исследователь угроз «Лаборатории Касперского».
«В последние годы злоумышленники все чаще маскируют вредоносные и фишинговые рассылки под деловую переписку — текст из реальных писем помогает сделать такие сообщения более убедительными. Иногда в поле отправителя мошенники добавляют имя настоящего адресанта, хотя внимательный пользователь заметит, что электронный адрес, с которого отправлено письмо, отличается. Часто сообщения относятся к переписке, завершившейся несколько лет назад», — отметил Андрей Ковтун, руководитель группы защиты от почтовых угроз в «Лаборатории Касперского».
Чтобы не стать жертвой атак с использованием реальной корпоративной переписки, «Лаборатория Касперского» рекомендует пользователям: внимательно проверять адрес, с которого пришло письмо, и не пересылать сообщения третьим лицам, не перепроверив содержащуюся в них информацию; повышать уровень цифровой грамотности.
Компаниям рекомендуется: проводить тренинги по кибербезопасности для сотрудников, обучать их распознавать техники социальной инженерии; установить надежное защитное решение, которое автоматически будет отправлять подобные письма в спам.
* Данные основаны на анонимизированной статистике срабатывания решений «Лаборатории Касперского» в период с 12 по 23 мая 2023 г.
Поделиться
Короткая ссылка
