«Лаборатория Касперского» обнаружила необычную спам-кампанию, направленную против компаний по всему миру. Подделывая электронные письма от поставщиков или других компаний, злоумышленники пытались украсть данные для входа в учреждения с помощью программного обеспечения для кражи Agent Tesla. Эти украденные учетные данные могут быть выставлены на продажу на форумах даркнета или использованы в целевых атаках на связанные организации. Турция вошла в топ-5 стран по количеству пользователей, пострадавших от атаки. В период с мая по август 2022 года примерно 13 326 пользователей стали жертвами этой попытки кражи.
В настоящее время киберпреступники инвестируют в массовые спам-кампании. Результаты последних исследований «Лаборатории Касперского» — яркое тому подтверждение. Новая спам-кампания, направленная против различных организаций, состояла из высококачественных поддельных сообщений, якобы отправленных реальными компаниями. Для достижения своей цели злоумышленники использовали программу для кражи Agent Tesla — известного троянского коня, предназначенного для кражи данных аутентификации, скриншотов, данных с веб-камер и клавиатур. Эта вредоносная программа распространялась в виде самораспаковывающегося архива, прикрепленного к электронному письму.
В примере электронной почты кто-то, изображающий из себя потенциального клиента из Малайзии, использует странный английский, чтобы попросить получателя просмотреть некоторые требования клиента и представить запрошенные документы. Общий формат соответствует стандартам корпоративной переписки, хорошо смотрится логотип реальной компании и подпись с информацией об отправителе. Лингвистические ошибки также легко объяснить тем, для кого английский язык не является родным.
Единственный подозрительный случай с электронным письмом заключается в том, что адрес отправителя, информационный бюллетень@trade***.com, помечен как «информационный бюллетень», который обычно используется для новостей, а не для покупок. Кроме того, доменное имя отправителя отличается от названия компании в логотипе.
В другом письме так называемый болгарский клиент спрашивает о наличии определенных продуктов и предлагает узнать подробности сделки. Сказано, что список запрашиваемых продуктов прилагается. Подозрительный адрес электронной почты отправителя имеет греческое доменное имя, явно не имеющее отношения к компании, даже не болгарское.
Сообщения приходят с ограниченного диапазона IP-адресов, а прикрепленные файлы всегда содержат одно и то же вредоносное ПО — агент Тесла. Это наводит исследователей на мысль, что все эти сообщения являются частью одной целевой кампании.
Чтобы защитить себя от спам-кампаний по электронной почте, «Лаборатория Касперского» рекомендует:
Проведите базовое обучение гигиене кибербезопасности для вашего персонала. Выполняйте смоделированные фишинговые атаки, чтобы убедиться, что они знают, как обнаруживать фишинговые электронные письма.
Чтобы снизить вероятность заражения через фишинговую почту, используйте встроенное решение для защиты от фишинга, такое как Kaspersky Endpoint Security для бизнеса, на конечных точках и почтовых серверах.
Если вы используете облачную службу Microsoft 365, не забудьте также защитить ее. В Kaspersky Security для Microsoft Office 365 есть приложения SharePoint, Teams и OneDrive для безопасного делового общения, а также средства защиты от спама и фишинга.
Будьте первым, кто оставит отзыв