Эксперты кибербезопасности зафиксировали две волны вредоносных рассылок

В начале июля «Лаборатория Касперского» зафиксировала две волны атак на российские компании с использованием вредоносных архивов и ссылок. Атаковали около тысячи сотрудников из различных сфер, включая промышленность, финансы, энергетику и госструктуры. К счастью, все попытки взлома удалось предотвратить.

По данным компании, хакеры часто использовали взломанные почтовые ящики партнёров компаний, чтобы отправлять письма, которые выглядели как продолжение предыдущих переписок. Это делалось для того, чтобы повысить доверие к сообщениям и увеличить шанс на успешное взлом. Письма содержали RAR-архивы, защищённые паролем, который был указан в самом сообщении. Внутри архивов находились документы-приманки с двойными расширениями, например, «Счёт-Фактура.pdf.exe», использующие уязвимость CVE-2023-38831.

При открытии таких файлов на компьютере жертвы устанавливалось вредоносное ПО типа Backdoor.Win64.PhantomDL, которое позволяет удалённое управление устройством. Ранее уже наблюдались похожие атаки, но с другим вредоносным ПО. В этих случаях письма содержали документы, якобы защищённые требованиями министерства, а пароль был в тексте сообщения. Например, вложения могли называться «Заявка на расчёт Май 2024.pdf.rar» или «Документ из налоговой (запрос).rar», и содержали вредоносное ПО DarkWatchman RAT для удалённого доступа к системам.