Эксперты «Лаборатории Касперского» обнаружили рост количества «сложных рассылок», нацеленных на корпоративных пользователей, включая организации в России. Если в феврале 2022 года было обнаружено около 3000 таких сообщений, то в марте их количество составило почти 30 000.
В ходе таких атак основная цель злоумышленников — вклиниться в корпоративную переписку с ответным письмом и убедить пользователей скачать малварь на свой компьютер. Таким образом атакующие пытаются получить доступ к устройствам пользователей.
Обнаруженные компанией сообщения были написаны разных языках, в том числе на английском, немецком, французском, итальянском, польском, венгерском, норвежском, словенском.
Одна из схем, которую зафиксировали эксперты, выглядит так: в ветке уже имеющейся переписки пользователи получают письмо, в котором содержится вложение или ссылка, часто ведущая на какой-либо популярный облачный сервис для хранения файлов. Такое письмо должно убедить получателей открыть вложение либо пройти по ссылке, скачать заархивированный документ и открыть его. Часто малварь помещают в зашифрованный архив, а пароль указывают в теле письма.
Чтобы усыпить бдительность жертвы, злоумышленники пишут, что документ содержит важные данные, которые получатель давно запрашивал: например, платежную форму или коммерческое предложение.
По данным «Лаборатории Касперского», все это – часть организованной кампании, направленной на распространение банковских троянов. В большинстве случаев открытый вредоносный документ загружает троян Qbot, хотя порой пейлоад меняется на Emotet.
Оба вредоноса способны воровать данные пользователей, собирать информацию из зараженной корпоративной сети, распространяться по ней, устанавливать шифровальщики или прочую малварь на корпоративные устройства. Qbot может также получить доступ к электронной почте и воровать письма, которые затем могут использовать для дальнейшей организации вредоносных рассылок.
«Подделка под деловую переписку — распространенный прием. Однако в данной мошеннической рассылке всё немного хитрее. Здесь переписка является реальной, так как злоумышленник вклинивается в уже существующий диалог письмом, содержащим зловред. Текст сообщения часто выдержан в деловом стиле и генерируется скриптом, из-за чего блокировка вредоносного письма спам-фильтрами усложняется», — комментирует Андрей Ковтун, руководитель группы защиты от почтовых угроз в «Лаборатории Касперского».