Эксперты компании BI.ZONE обнаружили новую хак-группу Fluffy Wolf, которая не менее 140 раз пыталась атаковать российские компании. По словам исследователей, основная цель группировки – кража учетных данных (скорее всего, для дальнейшей перепродажи). При этом аналитики характеризуют хакеров как низкоквалифицированных, так как те не пишут малварь сами, а покупают готовые решения, для доставки которых рассылают фишинговые письма.
Fluffy Wolf использует в атаках легитимные инструменты для удаленного доступа и недорогую коммерческую малварь. Чтобы получить первоначальный доступ к инфраструктуре жертв, они рассылают письма с вложениями, замаскированными под акты сверки.
Преимущество этой схемы в ее простоте, низкой себестоимости, а также эффективности, объясняют эксперты. Так, по данным BI.ZONE, около 5% сотрудников российских компаний открывают вредоносные вложения и переходят по ссылкам из фишинговых писем. При этом обеспечить большое покрытие рассылки не составляет технической сложности, а даже одного такого открытого письма достаточно для компрометации всей инфраструктуры. Именно поэтому фишинг используется в 68% всех целевых атак на организации.
В одной из последних кампаний хакеры писали потенциальным жертвам от имени строительной организации с темой «Акты на подпись». К письму прилагался архив, в названии которого был пароль, а внутри — вредоносный файл под видом документа. Когда пользователь открывал его, на устройство устанавливались две программы: стилер Meta, предназначенный для кражи данных, а также легитимное средство удаленного доступа Remote Utilities. В итоге Fluffy Wolf получали полный контроль над машиной и могли отслеживать действия пользователя, передавать файлы, выполнять команды, работать с диспетчером задач.
«Злоумышленники приобретают Meta Stealer на теневых форумах или в специальном Telegram‑канале. Арендовать стилер на месяц можно за 150 долларов, приобрести постоянную лицензию — за 1000. Стоимость лицензий на легитимное ПО Remote Utilities зависит от задач покупателя и варьируется от 29 до 12 000 долларов, но есть возможность воспользоваться бесплатной базовой версией. Все это делает себестоимость атаки крайне низкой.
Коммерческое ВПО позволяет реализовывать успешные атаки даже злоумышленникам с невысоким уровнем подготовки. Это серьезно расширяет ландшафт угроз для компаний из России и СНГ», — комментирует Олег Скулкин, руководитель BI.ZONE Threat Intelligence.
Стилер Meta представляет собой клон популярного стилера RedLine и позволяет собирать разные виды информации с зараженных машин, включая учетные данные и cookie из браузеров, а также данные FileZilla, криптокошельков и VPN‑клиентов. Однако в отличие от RedLine разработчики стилера Meta не запрещают использовать его в атаках на организации из России и других стран СНГ.
Отмечается, что ранее Fluffy Wolf применяла в атаках и другие вредоносы, в том числе платный троян удаленного доступа WarZone RAT, который позволял получить контроль над компьютером жертвы. Кроме того, в некоторых случаях хакеры устанавливали на скомпрометированные устройства майнер XMRig.
