Наши сертификаты Наши сертификаты

Партнерская программа Партнерская программа

Юридическим
лицам
Оставить заявку

8 (495) 232-52-16 для Москвы

8 800 200-22-33 для бесплатных звонков из России

? Появились
вопросы?
Позвонить с сайта
? Хотите
скидку?
Получить скидку
Онлайн-консультант

Главная > Блог > Угрозы из почты: актуальные тенденции в 2022 году

Угрозы из почты: актуальные тенденции в 2022 году

дата: 15.12.2022 / 11:48 Все новости
Угрозы из почты: актуальные тенденции в 2022 году

Годы пандемии изменили возможности для почтовых угроз. Переход сотрудников на удаленную работу и неизбежный перенос большей части коммуникаций в онлайн послужил толчком для активного развития как фишинга, так и атак с целью компрометации корпоративной переписки (Business Email Compromise).

Возросший поток деловой переписки привел к тому, что злоумышленникам стало гораздо проще маскировать свои письма среди множества легитимных посланий, а потому они активнее пытаются имитировать деловую переписку. Многие приемы социальной инженерии вроде призыва «скорее ответьте на срочное письмо» также получили новую жизнь. Основные тренды, которые мы наблюдали в 2022 году:

  • всплеск спам-рассылок, распространяющих вредоносное содержимое для заражения компьютера;

  • активное использование во вредоносных рассылках приемов социальной инженерии, характерных скорее для целевого фишинга (добавление подписей с атрибутами конкретных ведомств, использование подходящего под профиль компании контекста и делового языка, паразитирование на актуальной повестке, отсылка к реальным сотрудникам компании);

  • широкое применение спуфинга — использование почтовых адресов с доменными именами, которые отличаются от доменов реальных организаций лишь на пару символов.

В результате создатели вредоносных спам-рассылок довольно успешно маскировались под внутрикорпоративную переписку, деловую переписку между компаниями и даже под уведомления от государственных органов. Вот самые показательные примеры, встретившиеся за год.

Зловреды в почтовых рассылках

Основной тренд уходящего года — маскировка вредоносной рассылки под деловую переписку. Чтобы убедить пользователя открыть вложение или загрузить размещенный по ссылке файл, злоумышленники обычно пытаются убедить получателя в том, что письмо содержит релевантную для бизнеса информацию — коммерческое предложение или счета на оплату поставки товаров. Зловред при этом часто помещают в зашифрованный архив, пароль к которому указывают в теле письма.

Так в течение всего года действовала следующая схема: злоумышленники получали доступ к реальной деловой переписке, вероятнее всего, воруя корреспонденцию с зараженных ранее компьютеров, и отправляли всем ее участникам новые письма с вредоносными файлами или ссылками. То есть развивали существующую переписку, отвечая на последнее послание. Такой трюк затрудняет отслеживание вредоносных писем и повышает вероятность того, что жертва поддастся на уловку.

В большинстве случаев при открытии вредоносного документа загружается либо троян Qbot, либо Emotet. Оба могут использоваться для кражи данных пользователей, сбора информации в корпоративной сети и распространения дополнительных зловредов, например шифровальщиков. Кроме того, Qbot позволяет также получить доступ к электронной почте и воровать письма, то есть становиться источником переписки для дальнейших атак.

К концу года тематика вредоносных рассылок становилась все оригинальнее. Например, в начале декабря в качестве наживки начали использовать призывы поучаствовать в утилизации старой техники от имени благотворительной организации. Разумеется, для того чтобы принять участие в этом благородном деле, злоумышленники предлагали скачать файл, якобы содержащий список принимаемых устройств. По факту, разумеется, к письму прилагался вредоносный файл, спрятанный в запароленном архиве.

В рамках одной из почтовых кампаний злоумышленники под видом счетов-фактур рассылали десятки тысяч архивов с вредоносным трояном-бэкдором, который позволил бы удаленно управлять зараженным компьютером. Самое интересное, что у приложенного архива были расширения типа .r00, .r01 и так далее. Вероятно, в попытке обойти системы автоматической защиты, настроенные на определенные расширения файлов, авторы пытались выдать вложение за часть одного большого архива rar.

Рассылки от имени правительства

Участились рассылки, имитирующие уведомления от различных министерств и других правительственных организаций. Особенно эта тенденция была заметна в русскоязычном сегменте интернета. Письма этого типа оформляются с учетом специфики деятельности конкретных организаций. Адреса отправителей чаще всего повторяют логику формирования почтовых адресов в соответствующих ведомствах, а вредоносное вложение маскируют под какой-нибудь профильный документ, например «комментарии по результатам совещания». В одном из таких вложений был обнаружен вредоносный код, который эксплуатировал уязвимость в модуле Microsoft Office Equation Editor — редакторе формул для офисных программ.

Паразитирование на новостной повестке

В российском сегменте интернета также замечен всплеск зловредной почтовой активности, построенной на актуальной новостной повестке. Например, в октябре злоумышленники распространяли вредоносное ПО под видом повесток в рамках «частичной мобилизации». В письмах ссылались на статьи УК России, использовали геральдику и стилистику соответствующего ведомства, а саму повестку предлагали скачать по ссылке. На самом же деле ссылка вела на архив, содержащий скрипт, который создавал и запускал исполняемый файл.

Кроме того, была зафиксирована рассылка якобы от имени российских правоохранительных органов. В письме предлагалось скачать «новое решение», чтобы обезопасить себя от возможных угроз в интернете, вызванных «враждебными» организациями. Однако на деле программа, которую жертва устанавливала себе на компьютер, являлась трояном-шифровальщиком.

Как оставаться в безопасности

Схемы злоумышленников с каждым годом становятся все изощреннее, а методы мимикрии под деловую переписку — все убедительнее. Поэтому для обеспечения безопасности корпоративной инфраструктуры от атак через электронную почту следует уделять внимание не только техническим мерам, но и организационным. То есть кроме защитных решений для почты Kaspersky Security для почтовых серверов и на всех подключенных к интернету устройствах , рекомендуется не забывать и о регулярном повышении уровня осведомленности сотрудников о современных киберугрозах и методах злоумышленников .

Вы можете купить Kaspersky Security для почтовых серверов со скидкой 40%, если у вас уже есть лицензия Kaspersky Endpoint Security для бизнеса или в общем заказе. Для этого сообщите номер лицензии Kaspersky Endpoint Security для бизнеса или направьте запрос на  email order@allsoft.ru.

Статья подготовлена по материалам блога Лаборатории Касперского

Программы


Каталог
Разработчики
Акции

Не пропустите наши самые вкусные предложения!

Спасибо! Вам отправлен e-mail с подтверждением подписки. Спасибо. Вы успешно подписаны. Пожалуйста, введите e-mail Неверный e-mail Вы уже подписаны на данную рассылку
Вы используете устаревшую версию браузера .
Наш сайт построен на передовых и современных технологиях, поэтому при использовании устаревших версий браузера некоторые элементы могут отображаться некорректно.
Мы рекомендуем вам обновить браузер до последней версии.