Пример вредоносного письма
В начале июля «Лаборатория Касперского» обнаружила две волны атак на российские компании с применением вредоносных архивов и ссылок. Адресатами стали около тысячи сотрудников предприятий из сфер промышленности, финансов и энергетики, а также государственных структур. Все попытки атак удалось предотвратить.
Согласно данным «Лаборатории Касперского», в некоторых случаях хакеры писали от имени партнёров компаний, отвечая на уже существующие цепочки писем. Для этого, вероятно, использовались взломанные ящики этих партнёров либо ранее похищенная переписка. Письма, имитирующие продолжение предыдущих бесед, вызывают больше доверия у потенциальных жертв, подчёркивают в компании.
Злоумышленники рассылали RAR-архивы, которые находились во вложениях письма или были доступны для скачивания по ссылке из облачного хранилища. Как правило, эти архивы были защищены паролем, который предоставлялся в тексте самого письма. Внутри архива лежал документ-приманка и одноимённая папка с файлом, часто имеющим двойное расширение, например, «Счёт-Фактура.pdf.exe». Эта структура архива используется для эксплуатации уязвимости CVE-2023-38831, получившей широкое распространение среди злоумышленников.
Открытие файла на устройстве жертвы инициировало бы установку вредоносного ПО типа Backdoor.Win64.PhantomDL. Это ПО применяется для загрузки и запуска различных программ, включая те, что предназначены для удалённого управления устройством.
«Стоит отметить, что аналогичные по оформлению, целям, названиям и формату вложений рассылки мы наблюдали и ранее, однако в них распространялось другое вредоносное ПО, — дополняют в компании. — В частности, с конца апреля по начало июня рассылались письма с похожим на июльские кампании содержанием: во вложении якобы находились документы, защищенные паролем по требованию министерства, а сам пароль был указан в тексте письма».
По данным «Лаборатории Касперского», вложения обычно назывались в соответствии с темой письма, например «Заявка на расчёт Май 2024.pdf.rar» или «Документ из налоговой(запрос).rar». В этих письмах распространялись экземпляры вредоносного ПО DarkWatchman RAT, которое предоставляет злоумышленникам удалённый доступ к заражённой системе.
Источник: habr.com