Высокое напряжение: российские компании оказались под ударом стилера Loki

c493e1fdaef0155b258939022d6499cb.png

Специалисты компании F.A. С.С.T., российского разработчика технологий для борьбы с киберпреступлениями, зафиксировали в первые дни мая масштабную почтовую рассылку — более 300 писем — от имени крупнейшего в стране поставщика электрооборудования. Для подмены адреса отправителя злоумышленники использовали популярную технику спуфинга. На «борту» писем находился стилер Loki, предназначенный для кражи учетных данных жертвы.

В письмах, которые изучили эксперты Security Operations Center (SOC) F.A. С.С.T., получателей из российских компаний просят прислать коммерческое предложение «с конкурентноспособными ценами для продуктов, перечисленных в приложенный документ заказа на поставку». В письме, действительно, содержится zip-архив, однако при его открытии на компьютер пользователя загружается вредоносное ПО — стилер Loki, предназначенный для хищения учетных данных — логинов-паролей — пользователей. В дальнейшем злоумышленники могут использовать их для получения доступа к почтовым аккаунтам, базам даных, финансового мошенничества, вымогательства или шпионажа.

77816c39504cc3b906c6346a577e2c27.png

«Несмотря на то, что сам текст письма написан довольно «корявым» языком, вероятно, с использованием машинного перевода, сама подпись отправителя и его электронный адрес должны вызвать доверие у получателей», — отмечает Ярослав Каргалев, руководитель Security operations center (SOC) компании F.A. С.С.T.

По его словам, спуфинг — подмена адреса отправителя — является в 2023 году техникой номер один для маскировки вредоносных рассылок. В первом квартале 2023 года использование спуфинга было выявлено в 67,5% почтовых атак, обнаруженных системой предотвращения кибератак Managed XDR.

Опасность спуфинга в том, что эта техника эксплуатирует лазейки в почтовом протоколе SMTP и позволяет с помощью доступных инструментов — почтового клиента, скрипта или утилиты — подделать почтовый адрес отправителя. Получателю кажется, что письмо отправлено с легитимного адреса и он спокойно открывает вложение или переходит по ссылке, загружая на свое устройство вредоносное ПО.

© Habrahabr.ru