Специалисты по кибербезопасности из F.A.C.C.T. предупреждают российские компании об атаках Narketing163. От этих злоумышленников уже пострадали предприятия в более чем двадцати странах: от Казахстана, Азербайджана, Армении, Болгарии, Украины, Турции и США до Норвегии, Шри-Ланки, Люксембурга и Мексики. «Письма несчастья» от Narketing163 получают и в России.
Как отмечают специалисты, Narketing163 рассылает письма, прикрываясь электронными адресами с доменами верхнего уровня tr, az, com, kz, pe, info, net, имитируя активность от реально существующих компаний. При этом в рассылках злоумышленника постоянно менялись IP-адреса. В отправляемых письмах он оставлял обратные электронные адреса, которые, предположительно, зарегистрировал сам: narketing163@gmail[.]com, tender12@mail[.]com, verconas@mail[.]com, kubrayesti@gmail[.]com.
Тематика текстов писем обычно связана с коммерческими предложениями на услуги и товары, сроками поставки, обработкой заказов и их оплатой и адресованы компаниям из различных сфер деятельности: e-commerce, ритейла, химической промышленности, строительства, медицины, страхования и пищевой промышленности. Получателю письма предлагают для полной информации о коммерческом предложении скачать какой-либо прикреплённый файл, который содержит вредоносную начинку.
В своих атаках Narketing163 использует различное вредоносное ПО, написанное под ОС Windows: RedLine Stealer, Agent Tesla, FormBook, он же Formgrabber, Snake Keylogger. Каждый из зловредов заточен под разные цели мошенников:
- RedLine Stealer собирает данные о ОС жертвы, выполняет в ней задачи хакеров, а также занимается файл-граббером. Программа выкачивает информацию из браузеров заражённого устройства, все логины и пароли, файлы cookie, данные автозаполнения и кредитных карт, информацию из FTP-клиентов и IM-клиентов;
- Agent Tesla при попадании на устройство производит захват камеры жертвы, собирает всю информацию о заражённом устройстве, ворует данные паролей из приложений и браузеров. При необходимости он может скачивать извне и запускать на устройстве жертвы другие вредоносные программы;
- FormBook (FormBookFormgrabber) крадёт данные из браузеров, FTP-клиентов и мессенджеров. Вредоносная программа внедряется в процессы и отслеживает нажатия клавиш, ворует данные буфера обмена и извлекает данные из сеансов HTTP;
- Snake Keylogger записывает и передаёт злоумышленникам данные с нажатия клавиш пользователей: имена пользователей, пароли, данные банковских карт и другую информацию.
Чтобы защититься от подобного рода атак, специалисты F.A.C.C.T. рекомендуют:
- использовать программные решения для защиты электронной почты, обнаружения и реагирования на киберугрозы и проактивного анализа киберугроз;
- регулярно обновлять установленное программное обеспечение;
- проводить обучение сотрудников и тестовые фишинговые атаки для проверки того, насколько сотрудники могут распознать киберугрозу.
Также корпоративным пользователям советуют обращать внимание на ряд признаков письма от интернет-мошенников. Следует насторожиться, если:
- письмо получили без уведомления от потенциальных партнёров и оно не соответствует специфике деятельности компании;
- компания редко работает с иностранными клиентами/партнёрами или не работает вообще, но получила письмо на иностранном языке: условно, на азербайджанском, английском или турецком;
- в теме письма указан «СРОЧНЫЙ ЗАПРОС», или другая формулировка для манипулирования получателями и давления на них;
- в полученном письме нет упоминания индивидуальности и упоминания названия, сотрудников, продукции адресуемой компании. То есть, письмо может быть универсальной массовой рассылкой;
- в письме есть орфографические ошибки: они часто используются злоумышленниками для обхода спам-фильтров;
- у отправителя письма подозрительный адрес электронной почты, который мимикрирует под корпоративную почту крупной компании. Следует проверять адрес на официальном сайте компании, от имени которой вам предлагается партнёрство;
- в письме содержатся ссылки на какие-либо сайты без SSL-сертификата (с аббревиатурой http вместо https) или с подозрительными доменами. По таким ссылкам нельзя переходить, а если есть сомнения, то следует проверять легитимность доменов в поисковых системах);
- в письмах есть подозрительные вложения. Нельзя скачивать файлы от недоверенных источников.
Читать материалы по теме:
Замена Microsoft: российский РЕД СОФТ рассказал о планах на будущее
Вирус-шпион Unicorn атакует российских разработчиков и поставщиков электронных компонентов
Ростелеком опроверг информацию об утечке личных данных с сайта реестра электронных повесток