Злоумышленники атакуют российские компании под видом соискателей и проверяющих организаций

Как отмечают в «Лаборатории Касперского», за период с марта по май 2024 года было заблокировано несколько сотен подобных сообщений с признаками целевой рассылки. При этом в письмах атакующих нет вложения, «резюме», а файлы предлагается скачать по ссылке. В скачиваемом архиве находится стилер XDigo. Чтобы ввести в заблуждение потенциальных жертв, злоумышленники регистрируют домены, названия которых похожи на файловые хостинги, а затем формируют ссылки, которые выглядят убедительно.

Первые атаки c использованием этого зловреда эксперты по кибербезопасности фиксировали ещё в конце 2022 года. Цель злоумышленников — кибершпионаж, кража конфиденциальных документов и другой информации, в том числе паролей из браузера. В частности, с этой целью троянец проверяет наличие в системе браузеров. Найденные корпоративные данные зловред отправляет на управляющий сервер злоумышленников.

Схема с рассылкой зловредов под видом резюме или корпоративных документов, результатов неких проверок не теряет своей актуальности, рассказывают эксперты. Тема письма выглядит привлекательной для менеджеров, ответственных за поиск кадров или обеспечение безопасных условий и охраны труда в организации, поэтому такие сообщения действительно могут быть опасной ловушкой. Важно регулярно напоминать сотрудникам о необходимости соблюдать осторожность, даже если входящие письма от неизвестных составлены по всем канонам деловой переписки».

Для защиты от подобных атак компаниям следует:

- установить надёжное защитное решение, которое автоматически будет отправлять подобные письма в спам;

- регулярно проводить для сотрудников тренинги по кибербезопасности, обучать их распознавать техники социальной инженерии;

- использовать комплексные решения. Они помогают обеспечить защиту в режиме реального времени, отслеживать угрозы, исследовать и реагировать на них с помощью решений уровня EDR и XDR.