Атака нацелена на сбор конфиденциальных данных российских компаний.
BI.ZONE зафиксировала рассылку фишинговых писем. Злоумышленники использовали спуфинг, то есть подделывали адрес отправителя: для получателя письмо выглядело как сообщение из госорганов.
Жертвам приходили письма с темами: «Призыв по мобилизации», «Всеобщая мобилизация 2023», «Сверка документов Военкомат», «Призывники 2023 список» и пр. И тема, и текст сообщения убеждали пользователя открыть прикрепленный архив или скачать его по ссылке.
В архиве был вредоносный файл, который устанавливал на устройство троян DCRat. Такое ПО позволяет атакующим получить полный контроль над скомпрометированной системой.
С помощью DCRat злоумышленники делают скриншоты, записывают последовательность нажатия клавиш, получают содержимое буфера обмена и т. д. В итоге у преступников могут оказаться логины и пароли от корпоративных аккаунтов, финансовая информация, персональные данные, а также другие конфиденциальные сведения.
Олег Скулкин, руководитель управления киберразведки BI.ZONE:
«Даже неподготовленные злоумышленники достигают целей, когда используют злободневные темы и человеческий фактор. К сожалению, избежать подобных угроз практически невозможно. Поэтому организации должны обеспечить адекватную защиту от современных фишинговых атак».
Защита от подобных рассылок — нетривиальная задача. Настройки безопасности сервера электронной почты будут неэффективны без программных дополнений, поведенческого и сигнатурного анализа писем. Поэтому важно применять специализированные защитные сервисы, которые умеют отсеивать спуфинг еще до того, как он попадет к получателю.