Кибератака начинается с фишингового письма
Весной 2024 года эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») обнаружили SambaSpy. Это троянец удалённого доступа (RAT) для ПК, который применяется в целевых кибератаках на итальянских пользователей. Однако, вероятно, злоумышленники таким образом тестируют зловред, чтобы позднее использовать его и в других странах.
Что умеет. SambaSpy может, в частности, управлять файловой системой и процессами, получает доступ к веб-камере и делает скриншоты, запоминает нажатия клавиш, управляет буфером обмена и удалённым рабочим столом, крадёт пароли из популярных браузеров — Chrome, Edge, Opera и других. К тому же троянец умеет загружать на устройство жертвы и скачивать с него файлы, загружать дополнительные плагины.
Как проникает на устройство. Атака начинается с фишингового письма якобы от итальянского агентства по недвижимости. Потенциальным жертвам предлагают просмотреть счёт, нажав на встроенную кнопку. На самом деле за ней скрывается ссылка. При нажатии на неё большинство пользователей окажутся на легальном облачном сервисе для управления счетами. Однако отдельные пользовали попадают на вредоносный веб-сервер, где вредоносный скрипт проверяет настройки браузера и языка. Если у пользователя браузеры Edge, Firefox или Chrome с настройками итальянского языка, он перенаправляется на облачное хранилище, где находится вредоносный PDF-файл. Если нажать на ссылку из этого документа, на устройство проникает дроппер либо загрузчик. Разница в том, что дроппер сразу устанавливает троянец, а загрузчик сначала скачивает необходимые компоненты с серверов злоумышленников.
«Основная цель кампании — итальянские пользователи. При этом наши эксперты предполагают, что за атаками стоят португалоговорящие злоумышленники, поскольку комментарии и сообщения об ошибках во вредоносном коде написаны на бразильском варианте португальского языка. К тому же инфраструктура, используемая злоумышленниками, была связана с другими атаками в Бразилии и Испании, хотя инструменты заражения в этих регионах несколько отличаются от тех, что используются в Италии», — комментирует Татьяна Шишкова, ведущий эксперт Kaspersky GReAT.
С полной версией отчёта о SambaSpy можно ознакомиться по ссылке: https://securelist.ru/sambaspy-rat-targets-italian-users/110592/.
Для защиты от подобных кибератак «Лаборатория Касперского» рекомендует:
- не открывать доступ к службам удалённого рабочего стола (таким как RDP) из интернета;
- использовать комплексные защитные решения, эффективность которых подтверждается независимыми тестовыми лабораториями. Технологии, которые входят в состав Kaspersky Symphony, позволяют выстроить гибкую и эффективную систему безопасности, включающую в себя обеспечение надёжной защиты рабочих мест, выявление и остановку атак любой сложности на ранних стадиях, сбор актуальных данных о кибератаках в мире и обучение сотрудников базовым навыкам цифровой грамотности;
- инструктировать своих сотрудников по вопросам обеспечения безопасности корпоративной среды. В этом могут помочь специализированные курсы, которые можно найти, например, на платформе Kaspersky Automated Security Awareness Platform;
- предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence;
- использовать MDR-сервисы для управляемого обнаружения и реагирования на угрозы, например Kaspersky Managed Detection and Response. Он помогает обнаружить атаку на ранней стадии и предотвратить её дальнейшее развитие до того, как злоумышленники достигнут своих целей.