Российские IT-компании, представители финансовой и других сфер начали атаковать кибершпионы под видом соискателей и проверяющих организаций. Атакующие в письмах делятся ссылками — якобы на архив с портфолио, презентациями, результатами проведения специальной оценки условий труда в компании и другими материалами. Вместо этих документов адресаты писем получают на устройство вредоносные программы для кражи данных.
В архиве находится стилер XDigo. Первые атаки c использованием этого зловреда мы фиксировали еще в конце 2022 года. Цель злоумышленников — кибершпионаж, кража конфиденциальных документов и другой информации, в том числе паролей из браузера. В частности, с этой целью троянец проверяет наличие в системе браузеров. Найденные корпоративные данные зловред отправляет на управляющий сервер злоумышленников.
Чтобы ввести в заблуждение потенциальных жертв, злоумышленники регистрируют домены, названия которых похожи на файловые хостинги, а затем формируют ссылки, которые выглядят убедительно. Эксперты «Лаборатории Касперского» говорят, что их клиенты столкнулись с несколькими сотнями подобных сообщений с признаками целевой рассылки весной 2024 года.
Специалисты рекомендуют компаниям:
- установить надежное защитное решение, которое автоматически будет отправлять подобные письма в спам;
- регулярно проводить для сотрудников тренинги по кибербезопасности, обучать их распознавать техники социальной инженерии (в контексте информационной безопасности социальная инженерия — психологическое манипулирование людьми с целью совершения определенных действий, — прим.ред.).
Также необходимо использовать комплексные решения, которые помогают обеспечить защиту в режиме реального времени, отслеживать угрозы, исследовать и реагировать на них. Это должны быть решения разных уровней:
- EDR — ориентированные на выявление целевых атак и сложных угроз;
- XDR — системы информационной безопасности, предназначенные для автоматического проактивного выявления угроз на разных уровнях инфраструктуры, реагирования на них и противодействия сложным атакам.
Ранее перед майскими праздниками на российские компании началась другая волна кибератак. Под видом писем от компаний-партнеров, которые предъявляют досудебные претензии и требуют погасить некие задолженности, предприятия начали получать на почты вредоносные файлы. Благодаря им злоумышленники пытались проникнуть, а кое-где и проникали в инфраструктуру организации.
Читать материалы по теме:
Ноутбук Aquarius Cmp NE355 для работы с гостайной появился в России
Фейковое ИИ-приложение для смены голоса у россиян крадет их личные данные