Специалисты ESET и «Лаборатории Касперского» предупредили о новой волне фишинговых писем, с помощью которых распространяется шифровальщик Shade. Аналитики отмечают, что нельзя сказать, что на этот раз злоумышленники придумали что-то принципиально новое, однако они профессионально пользуются известными уловками, и эксперты сочли нужным еще раз предупредить сотрудников компаний.

Письма злоумышленников, как правило, замаскированы под уведомления от каких-либо известных брендов (например, «Бинбанка» или розничной сети «Магнит»). Жертва получает короткое письмо, подписанное якобы сотрудником компании, название которой на слуху. В самом письме минимум деталей — сообщение «Высылаю подробности заказа» и либо URL, выглядящий как ссылка на облачное хранилище документов, либо вложение. Распознать такую подделку можно по несоответствию адреса отправителя и данных в подписи: разные фамилии и домены сразу бросаются в глаза.

В письме часто присутствует строка, имитирующая отметку о проверке каким-либо защитным решением, — злоумышленники считают, что так письмо вызовет больше доверия.

По приведенной в послании ссылке жертву, разумеется, ожидает троян. Вариант с вложением немного интереснее. В нем содержится документ (к примеру, PDF-файл или DOCX), имитирующий интерфейс облачного сервиса. На иллюстрации ниже можно увидеть пример системы электронной отчетности и документооборота СБИС из файла PDF.

Конечно, при попытке «напечатать документы на экран» скачивается все тот же шифровальщик. Эксперты ESET также пишут о вариантах писем, во вложениях которых находится ZIP-архив, содержащий JavaScript-файл под названием «Информация.js»; после извлечения и запуска этот файл скачивает вредоносный загрузчик, детектируемый продуктами ESET как Win32/Injector. Загрузчик запускает финальную полезную нагрузку – вымогатель Shade (он же Troldesh).

Специалисты «Лаборатории Касперского» напоминают, что несколько лет назад эту малварь уличили в том, что она не только блокирует данные, но и проверяет по ряду признаков, не в бухгалтерии ли работает жертва, и при необходимости вместо шифрования устанавливает на зараженную машину инструменты удаленного доступа. Но чаще Shade действует по «классической схеме»: шифрует файлы по заранее сформированному списку расширений, выводит на рабочий стол сообщение с требованием выкупа и создает файл с условиями разблокировки.

До данным ESET, на текущий момент Shade проявляет наибольшую активность в России (более 52% от всех обнаруженных вредоносных вложений). Также атаке вымогателя подверглись пользователи Германии, Японии и Украины.

Оставить мнение