Банковские трояны в деловой переписке

Вредоносные спам-кампании распространяли банкеры IcedID и Qbot под видом различных документов с вредоносными макросами.

Две спам-кампании, нацеленные на офисных работников, распространяют банковских троянов IcedID и Qbot в Excel-таблицах с вредоносными макросами.

Когда по работе приходится получать и отправлять много писем, велик соблазн читать их по диагонали и скачивать вложения на автомате. Злоумышленники, конечно же, этим пользуются. Под важные документы маскируют что угодно — от фишинговых ссылок до вредоносных программ. Так, наши эксперты обнаружили две очень похожие друг на друга спам-кампании, в которых распространялись банковские трояны IcedID и Qbot.

Спам с вредоносными документами

Обе рассылки маскировались под деловую переписку на английском языке. В первом случае злоумышленники якобы требовали компенсации или хотели отменить некую операцию. К письму прилагался документ Excel в ZIP-архиве с названием вроде CompensationClaim-[несколько цифр]-[дата в формате ММДДГГГГ]. Вторая рассылка специализировалась на платежах и контрактах, а архив с «документом», с которым жертве предлагали ознакомиться, хранился на взломанном сайте, куда из письма вела ссылка.

Так или иначе, целью злоумышленников было убедить получателя открыть вредоносный файл Excel и запустить макрос в нем. Последний и скачивал на компьютер жертвы одного из банковских троянов — либо IcedID (чаще), либо Qbot (реже).

Банковские трояны IcedID и Qbot

Банковские трояны IcedID и Qbot существуют далеко не первый год. Так, IcedID впервые привлек внимание исследователей еще в 2017-м. А Qbot состоит на вооружении у киберпреступников аж с 2008 года. При этом злоумышленники постоянно совершенствуют свои приемы. Например, основной компонент IcedID с некоторых пор прячется в PNG-изображении. Эта уловка называется стеганография, и ее довольно-таки сложно обнаружить.

Сейчас оба зловреда сдаются в аренду на черном рынке, то есть распространяют их не только и не столько разработчики, сколько их многочисленные клиенты. Главная задача троянов — воровать для своих операторов данные банковских карт и логины с паролями от банковских аккаунтов, по возможности — принадлежащих бизнесу. Отсюда и деловой стиль рассылок. Для достижения своих целей зловреды пользуются различными методами.

  • Внедряют вредоносный скрипт в интересующую их веб-страницу, чтобы перехватывать данные, которые пользователь на ней вводит.
  • Перенаправляют посетителя онлайн-банка на поддельную страницу входа в личный кабинет, которая может выглядеть очень убедительно.
  • Извлекают из браузера сохраненные данные.

Qbot также умеет регистрировать нажатия клавиш, чтобы перехватить пароль прямо во время ввода.

Впрочем, кража платежных данных — не единственная неприятность, ожидающая жертву вредоносного спама. Так, IcedID может загрузить на зараженное устройство других зловредов, например шифровальщиков. А Qbot, помимо прочего, ворует электронные письма, чтобы в дальнейшем использовать их в своих спам-кампаниях, и предоставляет своим операторам удаленный доступ к вашему компьютеру. Учитывая, что устройство, скорее всего, рабочее, все это может обернуться серьезными неприятностями.

Как не стать жертвой банковских троянов

Как бы ни ухищрялись злоумышленники, чтобы защититься от них, не нужно изобретать велосипед. Обе обнаруженные нами спам-кампании полагаются на то, что получатель совершит несколько небезопасных действий, без которых вредоносный документ не сработает: откроет файл и разрешит ему выполнить макрос. Этого можно и нужно избежать.

  • Проверяйте, от кого пришло письмо по работе. Если кто-то, представляющийся подрядчиком или корпоративным клиентом, пишет с адреса на Gmail, это подозрительно. А если вы просто не знаете, кто он такой, — возможно, стоит сперва уточнить это у коллег.
  • Помните: если документ требует разрешить макросы или «контент», велика вероятность, что он вредоносный. Не запускайте макрос, если не уверены на сто процентов, что именно в этом файле он необходим.
  • Если вы работаете с личного устройства или работодатель не заботится о безопасности рабочих станций, пользуйтесь надежным защитным решением. Например, наши продукты успешно обнаруживают и IcedID, и Qbot.
Советы