Опасное письмо для интернет-магазина

[KL FC Bot]

Нередко киберпреступники в качестве цели выбирают совсем небольшие компании. Малый бизнес часто экономит на системах защиты и IT-специалистах, а главное, с большой долей вероятности работает с одного-двух компьютеров, что облегчает выбор цели. Недавно наши технологии выявили очередную атаку, направленную на небольшие интернет-магазины. Злоумышленники при помощи методов социальной инженерии пытались заставить владельцев запустить на своих компьютерах вредоносный скрипт.

Социальная инженерия

Интересна в этой атаке в первую очередь именно уловка, при помощи которой злоумышленники убеждают сотрудника магазина скачать и открыть вредоносный файл. Дело в том, что они присылают письмо от имени покупателя, который уже оплатил заказ, но не может его получить. Якобы возникли проблемы на почте, и магазин должен заполнить документ с реквизитами (данные отправителя, номер доставки и так далее). Какой же бизнесмен проигнорирует письмо от приносящего доходы клиента?

Письмо написано вежливо и на пусть и не идеальном, но достаточно понятном английском языке. Внутри находится ссылка на некий объект в сервисе Google Docs. Разумеется, по ней не открывается бланк для реквизитов — после нажатия на ссылку скачивается архив с вредоносным xlsx-файлом.

С технической точки зрения

Технически эта атака достаточно проста, но тем не менее эффективна. Во-первых, это явно не массовая рассылка — текст послания написан именно под интернет-магазин и рассылался, скорее всего, по какой-нибудь базе онлайновых магазинов. Во-вторых, в самом письме нет ничего вредоносного. Просто пара абзацев текста и ссылка на легитимный сервис. Таким образом, автоматические почтовые фильтры вряд ли остановят такое письмо (оно не попадает в классификацию ни как спам, ни как фишинг, а главное — не имеет вредоносного вложения).

В xlsx-файле содержится скрипт, который скачивает и запускает с удаленного сервиса исполняемый файл — банковский троян DanaBot. Если этот троян доберется до компьютера, то он может причинить немало проблем. DanaBot известен нашим системам с мая 2018 года. Этот зловред имеет модульную структуру и способен подгружать дополнительные плагины для перехвата трафика, кражи паролей и даже криптокошельков. До сих пор (судя по статистике за третий квартал 2019 года) он входит в топ-10 семейств банковского вредоносного ПО.

При этом, поскольку целью атаки являются совсем небольшие магазины, вероятность того, что зараженный компьютер, с которого читают почту, одновременно окажется и основной машиной для банковских операций, весьма велика. То есть злоумышленникам есть за чем охотиться.

Как защититься?

Во-первых, на всех компьютерах должно быть установлено надежное защитное решение. Наши защитные технологии не только выявляют DanaBot как Trojan-Banker.Win32.Danabot, но и регистрируют скрипт, скачивающий этот троян, с вердиктом HEUR:Trojan.Script.Generic. Так что атака останавливается еще до попадания трояна на машину.

Кроме того, имеет смысл вовремя обновлять широко используемые программы, в первую очередь операционную систему и офисный пакет. Ведь для доставки зловреда злоумышленники нередко пользуются уязвимостями в софте.

Для совсем небольших компаний мы рекомендуем использовать Kaspersky Small Office Security. Он не требует специальных навыков для управления, надежно защищает от троянов, а также проверяет актуальность версий распространенных сторонних приложений.

Читать далее >>