Коронавирус как приманка

[KL FC Bot]

Письма, имитирующие деловую переписку и содержащие во вложениях всевозможные вредоносные программы — не новость. Мы наблюдаем их в мусорном трафике на протяжении как минимум трех последних лет.
Причем чем ближе имитация к специфике работы жертвы, тем меньше шансов, что она заподозрит неладное.
Особенно опасен такой фишинг для сотрудников компаний, продающих какие-либо товары, ведь письма с запросами на поставку или заказами для них вполне привычное дело. Даже бдительному человеку порой бывает сложно определить, является ли письмо мошенническим или это легитимный заказ от нового клиента.
Поэтому количество таких писем растет. Да, они встречаются не столь часто, как традиционный вредоносный спам, однако это происходит потому, что они рассчитаны на конкретные цели и, скорее всего, рассылаются по списку адресов, специально сформированному под эту задачу.
Мы заметили, что в последние несколько недель мошенники стали использовать вспышку коронавируса для придания письмам пущей убедительности.
В сообщениях злоумышленники говорят о проблемах с доставкой, вызванных пандемией, в расчете на то, что получатель попытается разобраться, о какой доставке идет речь. В других случаях мошенники давят на необходимость немедленно обработать срочные заказы, поскольку их обычные поставщики уже сорвали сроки из-за эпидемии.
Как обычно, их главная цель — заставить получателя открыть вредоносное вложение. А в качестве предлогов для этого в ход идут стандартные уловки: просьбы проверить информацию по отправке, платежным данным, заказу или уточнить наличие товара.
Мы решили продемонстрировать несколько конкретных примеров фишинга такого типа и объяснить, чем открытие вложений грозило их получателям.

Отложенная поставка

 

Мошенники пишут, что из-за коронавируса им пришлось отложить поставку. Поэтому они присылают новые сведения о поставке вместе с новыми инструкциями. И, что самое главное, уточняют, подходит ли время доставки, тем самым побуждая получателя незамедлительно открыть вложенный файл, на первый взгляд выглядящий как инвойс в формате PDF.

На самом деле внутри находится не инвойс, а инсталлятор NSIS, исполняющий после запуска вредоносный скрипт. Скрипт, в свою очередь, запускает стандартный процесс cmd.exe и записывает туда вредоносный код. Таким образом, этот код выполняется в контексте легитимного процесса в попытке обмануть защитные механизмы. Конечная цель — слежка за действиями пользователя. Поэтому нашими продуктами для защиты почты эта угроза детектируется как Trojan-Spy.Win32.Noon.gen.
 
Читать далее >>