Специалисты по кибербезопасности из F.A.C.C.T. предупреждают российские компании об атаках Narketing163. От этих злоумышленников уже пострадали предприятия в более чем двадцати странах: от Казахстана, Азербайджана, Армении, Болгарии, Украины, Турции и США до Норвегии, Шри-Ланки, Люксембурга и Мексики. «Письма несчастья» от Narketing163 получают и в России.

Как отмечают специалисты, Narketing163 рассылает письма, прикрываясь электронными адресами с доменами верхнего уровня tr, az, com, kz, pe, info, net, имитируя активность от реально существующих компаний.  При этом в рассылках злоумышленника постоянно менялись IP-адреса. В отправляемых письмах он оставлял обратные электронные адреса, которые, предположительно, зарегистрировал сам: narketing163@gmail[.]com, tender12@mail[.]com, verconas@mail[.]com, kubrayesti@gmail[.]com.

Тематика текстов писем обычно связана с коммерческими предложениями на услуги и товары, сроками поставки, обработкой заказов и их оплатой и адресованы компаниям из различных сфер деятельности: e-commerce, ритейла, химической промышленности, строительства, медицины, страхования и пищевой промышленности. Получателю письма предлагают для полной информации о коммерческом предложении скачать какой-либо прикреплённый файл, который содержит вредоносную начинку. 

В своих атаках Narketing163 использует различное вредоносное ПО, написанное под ОС Windows: RedLine Stealer, Agent Tesla, FormBook, он же Formgrabber, Snake Keylogger. Каждый из зловредов заточен под разные цели мошенников:

  • RedLine Stealer собирает данные о ОС жертвы, выполняет в ней задачи хакеров, а также занимается файл-граббером. Программа выкачивает информацию из браузеров заражённого устройства, все логины и пароли, файлы cookie, данные автозаполнения и кредитных карт, информацию из FTP-клиентов и IM-клиентов; 
  • Agent Tesla при попадании на устройство производит захват камеры жертвы, собирает всю информацию о заражённом устройстве, ворует данные паролей из приложений и браузеров. При необходимости он может скачивать извне и запускать на устройстве жертвы другие вредоносные программы; 
  • FormBook (FormBookFormgrabber) крадёт данные из браузеров, FTP-клиентов и мессенджеров. Вредоносная программа внедряется в процессы и отслеживает нажатия клавиш, ворует данные буфера обмена и извлекает данные из сеансов HTTP; 
  • Snake Keylogger записывает и передаёт злоумышленникам данные с нажатия клавиш пользователей: имена пользователей, пароли, данные банковских карт и другую информацию.

Чтобы защититься от подобного рода атак, специалисты F.A.C.C.T. рекомендуют:

  • использовать программные решения для защиты электронной почты, обнаружения и реагирования на киберугрозы и проактивного анализа киберугроз;
  • регулярно обновлять установленное программное обеспечение;
  • проводить обучение сотрудников и тестовые фишинговые атаки для проверки того, насколько сотрудники могут распознать киберугрозу.

Также корпоративным пользователям советуют обращать внимание на ряд признаков письма от интернет-мошенников. Следует насторожиться, если:

  • письмо получили без уведомления от потенциальных партнёров и оно не соответствует специфике деятельности компании; 
  • компания редко работает с иностранными клиентами/партнёрами или не работает вообще, но получила письмо на иностранном языке: условно, на азербайджанском, английском или турецком; 
  • в теме письма указан «СРОЧНЫЙ ЗАПРОС», или другая формулировка для манипулирования получателями и давления на них;
  • в полученном письме нет упоминания индивидуальности и упоминания названия, сотрудников, продукции адресуемой компании. То есть, письмо может быть универсальной массовой рассылкой;
  • в письме есть орфографические ошибки: они часто используются злоумышленниками для обхода спам-фильтров;
  • у отправителя письма подозрительный адрес электронной почты, который мимикрирует под корпоративную почту крупной компании. Следует проверять адрес на официальном сайте компании, от имени которой вам предлагается партнёрство;
  • в письме содержатся ссылки на какие-либо сайты без SSL-сертификата (с аббревиатурой http вместо https) или с подозрительными доменами. По таким ссылкам нельзя переходить, а если есть сомнения, то следует проверять легитимность доменов в поисковых системах);
  • в письмах есть подозрительные вложения. Нельзя скачивать файлы от недоверенных источников.

Читать материалы по теме:

Замена Microsoft: российский РЕД СОФТ рассказал о планах на будущее

Вирус-шпион Unicorn атакует российских разработчиков и поставщиков электронных компонентов

Ростелеком опроверг информацию об утечке личных данных с сайта реестра электронных повесток

Источники :
F.A.C.C.T.

Сейчас на главной