Поделиться
Чистое зло: количество атак бэкдора Pure на российские компании выросло в четыре раза
«Лаборатория Касперского» зафиксировала четырехкратный рост кибератак с использованием вредоносного ПО Pure на российские организации (данные Kaspersky Security Network с января по апрель 2025 г. по сравнению с аналогичным периодом 2024 г.). Злоумышленники, как правило, распространяют зловред в спам-рассылках по электронной почте, а в наименовании вложенных файлов используют сокращения от названий документов, действий или ПО, связанных с бухгалтерской сферой. Об этом CNews сообщили представители «Лаборатория Касперского».
Как происходит заражение. Сотрудник компании получает спам-письмо с вредоносным вложением в виде RAR-архива или ссылку на архив. В нем содержится исполняемый файл, который маскируется под PDF-документ. В имени файла злоумышленники чаще всего используют шаблонные слова, связанные с бухгалтерской сферой, такие как doc, akt, «акт», sverka, «сверка», buh, oplata, «оплата», а также упоминают известные компании, разрабатывающие бухгалтерское ПО или предоставляющие услуги по его внедрению.
Кроме того, некоторым компонентам зловреда присвоены названия известных банков. Это служит дополнительным признаком, что атаки ориентированы на сотрудников, работающих с платежной информацией, в частности бухгалтеров.
В чем опасность атак. Вредоносная кампания затрагивает как крупный, так и небольшой бизнес. Действие зловреда направлено на кражу учетных данных, конфиденциальной информации и финансовых средств компаний. В его состав входят бэкдор PureRAT и стилер PureLogs, которые обладают широкой функциональностью и позволяют атакующим получить неограниченный доступ к зараженным системам.
После проникновения на устройство PureRAT способен подгружать несколько десятков дополнительных модулей, каждый из которых выполняет свои функции, например запуск команды на самоудаление, получение доступа к микрофону и камере, выключение или перезагрузку компьютера. Кроме того, в нем содержится функциональность, которая может использоваться для оповещения оператора ботнета о начале работы пользователя с финансовым сервисом. В том случае, если сотрудник отлучается от рабочего места, не закрыв приложение или не выйдя из браузерной сессии, злоумышленник может подключиться в режиме удаленного стола для совершения злонамеренных действий.
«Впервые мы обнаружили семейство зловредов Pure в середине 2022 г. Его особенность заключается в том, что оно распространяется на теневых ресурсах по модели Malware-as-a-Service. Это означает, что разные группы и отдельные злоумышленники могут купить и использовать его по своему усмотрению. Применение бухгалтерской тематики для атак зловреда на российские организации было впервые зафиксировано в марте 2023 г., — сказал Олег Купреев, эксперт по кибербезопасности в «Лаборатории Касперского». — Важно отметить, что троянцы удаленного доступа (RAT) представляют серьезную угрозу для организаций, так как пользователь может долгое время оставаться в неведении о том, что злоумышленники получили полный контроль над устройством».
Чтобы защититься от подобных атак, «Лаборатория Касперского» рекомендует организациям: обучать сотрудников цифровой грамотности, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, например, маскировки сообщений под бухгалтерскую тематику; регулярно обновлять программное обеспечение на всех устройствах, чтобы предотвращать проникновение злоумышленников во внутреннюю сеть с использованием уязвимостей; проводить аудит безопасности сетей и активов, чтобы вовремя обнаруживать и устранять слабые места внутри периметра или сети организации; использовать комплексное решение для обеспечения кибербезопасности.
Поделиться
Короткая ссылка
