Эксперты Kaspersky обнаружили вредоносную спам-кампанию
Эксперты Kaspersky обнаружили вредоносную спам-кампанию
27.09.2022
Эксперты Kaspersky сообщили об опасной программе для кражи паролей распространяется через спам в корпоративной почте. Её цели ― организации по всему миру, в том числе и в Беларуси.
Атакующие пытаются украсть учётные данные с помощью программы-стилера Agent Tesla. Они распространяют зловред через письма якобы от поставщиков или контрагентов. Всего с апреля по август 2022 года решения «Лаборатории Касперского» обнаружили около 740 тысяч писем в рамках этой кампании. Украденные данные злоумышленники могут продавать на форумах в даркнете или использовать в дальнейших целевых атаках на те же организации.
Agent Tesla — троянец-шпион, который умеет красть логины и пароли из браузеров и других приложений, делать скриншоты, а также собирать данные с веб-камер и клавиатур. Зловред распространяется в виде архива в электронном письме.
Судя по данным Kaspersky, злоумышленники всё тщательнее готовят массовые спам-атаки. Обычно такие письма довольно примитивны и не отличаются разнообразием, но в последнее время в массовых рассылках стали прослеживаться приёмы, характерные для целевых атак. В частности, атакующие рассылают письма от имени существующих компаний, копируют стиль письма и подпись отправителя. Например, в этой вредоносной кампании деловые письма подделаны очень хорошо. Единственное, что выдаёт злоумышленников, — это странные адреса отправки.
Так, одна из рассылок шла с адреса newsletter@trade***.com, а содержала поддельную информацию о закупках. Слово же «newsletter» обычно используется в новостных рассылках, а не для переписки по закупкам. Кроме того, доменное имя отправителя отличалось от официального названия компании на логотипе.
Одно из писем на белорусском языке якобы от представителя некоего завода содержало предложение оформить заказ на его продукцию. С условиями можно было ознакомиться в документе из прикреплённого к письму архива. Адрес отправителя не соответствовал адресу в авто-подписи.
Объединяет эти письма не только схожий сценарий рассылки и то, что они не похожи на автоматически сгенерированные. Заголовки писем также имеют одну и ту же структуру. Кроме того, сообщения приходят с ограниченного набора IP-адресов. Это означает, что они являются частью одной большой вредоносной почтовой кампании.
«Agent Tesla —популярный стилер, который мошенники используют ещё с 2014 года для кражи паролей и других учётных данных. Но в последнее время эксперты фиксируют переход злоумышленников от массовых вредоносных рассылок к целевым почтовым атакам на организации. Их письма выглядят всё более правдоподобно, и компаниям необходимо уделить особое внимание защите почтового сегмента, как с точки зрения применения защитных технологий, так и в плане обучения сотрудников основам киберграмотности», ― комментирует Дмитрий Кудревич, представитель Kaspersky в Республике Беларусь.
Вернуться к списку новостей