Возросший поток деловой переписки привел к тому, что злоумышленникам стало гораздо проще маскировать свои письма среди множества легитимных посланий, а потому они активнее пытаются имитировать деловую переписку. Многие приемы социальной инженерии вроде призыва «скорее ответьте на срочное письмо» также получили новую жизнь. Основные тренды, которые мы наблюдали в 2022 году:

• всплеск спам-рассылок, распространяющих вредоносное содержимое для заражения компьютера;

• активное использование во вредоносных рассылках приемов социальной инженерии, характерных скорее для целевого фишинга (добавление подписей с атрибутами конкретных ведомств, использование подходящего под профиль компании контекста и делового языка, паразитирование на актуальной повестке, отсылка к реальным сотрудникам компании);

• широкое применение спуфинга — использование почтовых адресов с доменными именами, которые отличаются от доменов реальных организаций лишь на пару символов.

В результате создатели вредоносных спам-рассылок довольно успешно маскировались под внутрикорпоративную переписку, деловую переписку между компаниями и даже под уведомления от государственных органов. Вот самые показательные примеры, встретившиеся за год.

Зловреды в почтовых рассылках

Основной тренд уходящего года — маскировка вредоносной рассылки под деловую переписку. Чтобы убедить пользователя открыть вложение или загрузить размещенный по ссылке файл, злоумышленники обычно пытаются убедить получателя в том, что письмо содержит релевантную для бизнеса информацию — коммерческое предложение или счета на оплату поставки товаров. Зловред при этом часто помещают в зашифрованный архив, пароль к которому указывают в теле письма.

Так в течение всего года действовала следующая схема: злоумышленники получали доступ к реальной деловой переписке, вероятнее всего, воруя корреспонденцию с зараженных ранее компьютеров, и отправляли всем ее участникам новые письма с вредоносными файлами или ссылками. То есть развивали существующую переписку, отвечая на последнее послание. Такой трюк затрудняет отслеживание вредоносных писем и повышает вероятность того, что жертва поддастся на уловку.

В большинстве случаев при открытии вредоносного документа загружается либо троян Qbot, либо Emotet. Оба могут использоваться для кражи данных пользователей, сбора информации в корпоративной сети и распространения дополнительных зловредов, например шифровальщиков. Кроме того, Qbot позволяет также получить доступ к электронной почте и воровать письма, то есть становиться источником переписки для дальнейших атак.

К концу года тематика вредоносных рассылок становилась все оригинальнее. Например, в начале декабря в качестве наживки начали использовать призывы поучаствовать в утилизации старой техники от имени благотворительной организации. Разумеется, для того чтобы принять участие в этом благородном деле, злоумышленники предлагали скачать файл, якобы содержащий список принимаемых устройств. По факту, разумеется, к письму прилагался вредоносный файл, спрятанный в запароленном архиве.

В рамках одной из почтовых кампаний злоумышленники под видом счетов-фактур рассылали десятки тысяч архивов с вредоносным трояном-бэкдором, который позволил бы удаленно управлять зараженным компьютером. Самое интересное, что у приложенного архива были расширения типа .r00, .r01 и так далее. Вероятно, в попытке обойти системы автоматической защиты, настроенные на определенные расширения файлов, авторы пытались выдать вложение за часть одного большого архива rar.

Рассылки от имени правительства

Участились рассылки, имитирующие уведомления от различных министерств и других правительственных организаций. Особенно эта тенденция была заметна в русскоязычном сегменте интернета. Письма этого типа оформляются с учетом специфики деятельности конкретных организаций. Адреса отправителей чаще всего повторяют логику формирования почтовых адресов в соответствующих ведомствах, а вредоносное вложение маскируют под какой-нибудь профильный документ, например «комментарии по результатам совещания». В одном из таких вложений был обнаружен вредоносный код, который эксплуатировал уязвимость в модуле Microsoft Office Equation Editor — редакторе формул для офисных программ.

Паразитирование на новостной повестке

В российском сегменте интернета также замечен всплеск зловредной почтовой активности, построенной на актуальной новостной повестке. Например, в октябре злоумышленники распространяли вредоносное ПО под видом повесток в рамках «частичной мобилизации». В письмах ссылались на статьи УК России, использовали геральдику и стилистику соответствующего ведомства, а саму повестку предлагали скачать по ссылке. На самом же деле ссылка вела на архив, содержащий скрипт, который создавал и запускал исполняемый файл.

Кроме того, была зафиксирована рассылка якобы от имени российских правоохранительных органов. В письме предлагалось скачать «новое решение», чтобы обезопасить себя от возможных угроз в интернете, вызванных «враждебными» организациями. Однако на деле программа, которую жертва устанавливала себе на компьютер, являлась трояном-шифровальщиком.

Как оставаться в безопасности

Статья подготовлена по материалам блога Лаборатории Касперского