Эксперты «Лаборатории Касперского» предупреждают о волне атак на корпоративных пользователей. Особенность этой массовой рассылки в том, что сообщения приходят якобы от людей, с которыми получатели уже вели деловую переписку. Злоумышленники вклиниваются в уже существующий диалог. Тема письма указывает, что внутри может находиться в том числе запись аудиоконференции, информация о встрече или детали по реальному проекту. Во всех этих письмах содержится ссылка, за которой скрывается вредоносное ПО. Если получатель переходит по ней, на устройство загружается троянец-загрузчик PikaBot.
Волна началась в десятых числах мая, пик атаки пришёлся на период с 15 по 18 мая. За несколько дней эксперты зафиксировали почти 5 тысяч подобных писем. Рассылка продолжается до сих пор.
PikaBot — новое семейство зловредов. На сегодняшний день оно применяется в основном для скрытой установки других вредоносных семейств, а также для исполнения произвольного кода командной строки, полученной с удалённого сервера. В атаках PikaBot используются те же методы и иногда та же инфраструктура, что и для распространения банковского троянца Qbot, способного извлекать пароли и куки из браузеров, воровать письма, перехватывать трафик, давать операторам удалённый доступ к заражённой системе.
«Семейство PikaBot умеет проверять языковые настройки целевой системы. Злоумышленников интересуют русский, белорусский, таджикский, словенский, грузинский, казахский, узбекский. Если зловред „видит” эти языки, то атака прекращается. Может показаться, что PikaBot пока не представляет серьёзной угрозы для русскоговорящих пользователей, однако ситуация может измениться в любой момент, так как вместо PikaBot может быть загружен более деструктивный вредоносный файл», — говорит Артем Ушков, исследователь угроз «Лаборатории Касперского».
«Сегодня злоумышленники часто маскируют вредоносные рассылки под деловую переписку, потому что текст из реальных писем помогает сделать зловредные сообщения более убедительными. Однако часто сообщения относятся к переписке давно завершившейся, а внимательный пользователь заметит, что электронный адрес, с которого отправлено письмо, отличается от имени настоящего адресанта», — добавляет Мушвиг Мамедов, официальный представитель «Лаборатории Касперского» в Азербайджане.
Чтобы не стать жертвой атак с использованием реальной корпоративной переписки, «Лаборатория Касперского» рекомендует пользователям:
- внимательно проверять адрес, с которого пришло письмо, и не пересылать сообщения третьим лицам, не перепроверив содержащуюся в них информацию;
- повышать уровень цифровой грамотности.
Компаниям рекомендуется:
- проводить тренинги по кибербезопасности для сотрудников, обучать их распознавать техники социальной инженерии, например с помощью платформы Kaspersky Automated Security Awareness Platform;
- установить надёжное защитное решение, которое автоматически будет отправлять подобные письма в спам, например Kaspersky Secure Mail Gateway.
* Данные основаны на анонимизированной статистике срабатывания решений «Лаборатории Касперского» в период с 12 по 23 мая 2023 года.