Как сообщили в пресс-службе компании, цель атакующих — шпионаж, кража документов или данных для доступа к корпоративным почтовым ящикам. Используемые зловреды и техники имеют множество сходств с теми, которые применяет в своих атаках группа XDSpy (кибершпионская группа, которой в основном удается оставаться не обнаруженной более девяти лет, – прим.ред.).
Стартовала рассылка утром 13 марта, за четверо суток эксперты «Лаборатории Касперского» обнаружили несколько сотен подобных писем. Злоумышленники просят сверить данные о сотрудниках якобы из базы ведомства. Под видом вложенного списка рассылается вредоносное ПО. В сообщении утверждается, что обновлённую информацию нужно направить срочно, иначе получатель рискует быть привлечённым к административной ответственности.
В основном такие письма были направлены сотрудникам кадровых и финансовых отделов. Однако, как предупреждают специалисты, такое письмо может прийти на любой корпоративный адрес.
Сообщается, что 15 марта была заблокирована такая же волна рассылок. В ней злоумышленники пугали получателя уголовной статьёй в связи с неким денежным переводом и предлагали перейти по ссылке, чтобы узнать подробности «дела». Ссылка также была вредоносной.
Для рассылки злоумышленники регистрируют домены, которые похожи на настоящие файловые хостинги. Если пользователь попытается посмотреть заявленный в письме список и разархивирует файл, то при помощи командной строки запустится вредоносный код, и атака продолжится.
«В скачиваемом по ссылке архиве два файла. Один из них — ярлык, название которого соответствует описанию в тексте письма (например, Spisok_No_658.lnk). Второй — текстовый, с вредоносным кодом. Он назван Thumbs.db, как и служебный файл в операционных системах Microsoft, который используется для хранения эскизов содержащихся в папке изображений. Если попытаться открыть этот якобы список, то автоматически запустится второй файл, атака продолжится», — предупреждает Виктория Власова, эксперт по кибербезопасности «Лаборатории Касперского».
Ранее «Телеспутник» сообщал, что по данным исследования «Лаборатории Касперского», более трети компаний в России (42 %) обращаются к поставщикам управляемых ИТ- и ИБ-услуг (MSP/MSSP) из-за нехватки собственных специалистов по информационной безопасности. Данный опрос был проведен в прошлом году. В нем приняли участие 3 230 специалистов из компаний с более чем 50 сотрудниками из 26 стран, включая РФ.
