Поделиться
В новый год — с новым стилером: январь начался с масштабной волны атак на российские компании
Злоумышленники использовали новый стилер NOVA — модификацию известного SnakeLogger. Полученные аутентификационные данные другие кластеры могут задействовать в своих целевых атаках на скомпрометированные компании. Об этом CNews сообщили представители Bi.Zone.
В январе 2025 г. специалисты Bi.Zone зафиксировали многочисленные атаки, нацеленные на российские организации разных отраслей, включая финансовый сектор, ритейл, ИТ, госсектор, транспорт и логистику.
Злоумышленники похищают аутентификационные данные для дальнейшей продажи на теневых ресурсах. В атаках используется коммерческий стилер NOVA — видоизмененная версия популярного SnakeLogger.
Олег Скулкин, руководитель Bi.Zone Threat Intelligence: «Злоумышленники часто создают копии известных ВПО и меняют их характеристики, чтобы обойти современные средства защиты. Так случилось и с популярным SnakeLogger, который применяется в 23% атак с использованием стилеров. Злоумышленники модифицировали его и создали форк NOVA. Новый инструмент несколько отличается от предшественника: за счет оптимизации кода и обновления архитектуры NOVA сложнее распознать привычными средствами обнаружения».
Атакующие доставляют стилер с помощью фишинговых писем, распространяя ВПО под видом архива с договорами. Обычно в таких случаях используют двойное расширение и привычные для пользователя иконки, например изображение Word или PDF. Это позволяет скрыть от жертвы, что файл исполняемый.
Злоумышленники не маскируют вложение с NOVA под легитимный документ. Они лишь присваивают файлу допустимое имя («Договор.exe»). То есть делают ставку не на тщательную маскировку фишинга, а на массовость рассылок и невнимательность сотрудников, которые регулярно взаимодействуют с большим количеством электронных писем.
После распаковки и закрепления в системе стилер собирает сохраненные аутентификационные данные, записывает нажатия клавиш, делает снимки экрана и извлекает данные из буфера обмена.
Стилер NOVA появился в продаже в Telegram в августе 2024 г. по цене $50 за месяц использования или $630 за бессрочную лицензию. Вдобавок разработчик предлагает криптор, который защищает ВПО от обнаружения. Его цена стартует от $60 за месяц и доходит до $150 за три месяца применения.
Для защиты от стилеров рекомендуется использовать системы класса privileged access management (управление привилегированным доступом). Они поддерживают одноразовые пароли и позволяют настроить ротацию секретов для подключения к критическим элементам ИТ-инфраструктуры.
Для отслеживания на теневых ресурсах скомпрометированных корпоративных учетных записей помогут порталы киберразведки.
Поделиться
Короткая ссылка
