Эксперты по информационной безопасоности зафиксировали кампанию кибершпионажа, нацеленную на российские компании из финансовой и ИТ-сфер. Злоумышленники рассылают письма, в которых в одних случаях представляются соискателями, в других — просят ознакомиться с результатами проведения специальной оценки условий труда или отправляют некие обещанные файлы. Объединяет письма то, что атакующие делятся ссылками — якобы на архив с портфолио, презентациями и другими материалами. Однако вместо указанных документов в архивах находится вредоносная программа для кражи данных.
Как отмечают в «Лаборатории Касперского», за период с марта по май 2024 года было заблокировано несколько сотен подобных сообщений с признаками целевой рассылки. При этом в письмах атакующих нет вложения, «резюме», а файлы предлагается скачать по ссылке. В скачиваемом архиве находится стилер XDigo. Чтобы ввести в заблуждение потенциальных жертв, злоумышленники регистрируют домены, названия которых похожи на файловые хостинги, а затем формируют ссылки, которые выглядят убедительно.
Первые атаки c использованием этого зловреда эксперты по кибербезопасности фиксировали ещё в конце 2022 года. Цель злоумышленников — кибершпионаж, кража конфиденциальных документов и другой информации, в том числе паролей из браузера. В частности, с этой целью троянец проверяет наличие в системе браузеров. Найденные корпоративные данные зловред отправляет на управляющий сервер злоумышленников.
Схема с рассылкой зловредов под видом резюме или корпоративных документов, результатов неких проверок не теряет своей актуальности, рассказывают эксперты. Тема письма выглядит привлекательной для менеджеров, ответственных за поиск кадров или обеспечение безопасных условий и охраны труда в организации, поэтому такие сообщения действительно могут быть опасной ловушкой. Важно регулярно напоминать сотрудникам о необходимости соблюдать осторожность, даже если входящие письма от неизвестных составлены по всем канонам деловой переписки».
Для защиты от подобных атак компаниям следует:
- установить надёжное защитное решение, которое автоматически будет отправлять подобные письма в спам;
- регулярно проводить для сотрудников тренинги по кибербезопасности, обучать их распознавать техники социальной инженерии;
- использовать комплексные решения. Они помогают обеспечить защиту в режиме реального времени, отслеживать угрозы, исследовать и реагировать на них с помощью решений уровня EDR и XDR.