Специалисты «Лаборатории Касперского» обнаружили кибершпионскую кампанию, нацеленную на российские компании, в частности на сектора финансов и ИТ.
По данным исследователей, злоумышленники рассылают своим целям фишинговые письма, в которых в одних случаях представляются соискателями, в других — просят ознакомиться с результатами проведения специальной оценки условий труда или отправляют некие обещанные файлы.
Объединяет такие письма то, что атакующие делятся ссылками — якобы на архив с портфолио, презентациями и другими материалами. То есть в письмах нет вложений, а «резюме» и другие файлы предлагается скачать по ссылке. Чтобы ввести в заблуждение потенциальных жертв, злоумышленники регистрируют домены, названия которых похожи на файловые хостинги, а затем формируют ссылки, которые выглядят убедительно.
Вместо указанных документов в архивах находится малварь для кражи данных. Исследователи предупреждают, что весной 2024 года заблокировали несколько сотен подобных сообщений.
«В архиве находится стилер XDigo. Первые атаки c использованием этого зловреда мы фиксировали еще в конце 2022 года. Цель злоумышленников — кибершпионаж, кража конфиденциальных документов и другой информации, в том числе паролей из браузера. В частности, с этой целью троянец проверяет наличие в системе браузеров. Найденные корпоративные данные зловред отправляет на управляющий сервер злоумышленников», — комментирует Виктория Власова, эксперт по кибербезопасности в «Лаборатории Касперского».
