Эксперты выявили хакерскую схему с фишингом, фейковой Captcha и неизвестным ранее трояном

Хакеры в мае–июне атаковали порядка 30 российских компаний, используя сложную схему, которая начиналась с «писем с pdf-файлами от силовиков», включала в себя вектор с фейковой Captcha и заканчивалась кастомным трояном, который жертва, по сути, устанавливала сама. Об этом сообщает ТАСС со ссылкой на компанию по управлению цифровыми рисками BI.ZONE.

Получив письмо и открыв файл, пользователь не мог прочитать текст внутри из-за сильной размытости, поэтому ему, чтобы получить доступ, предлагалось нажать на кнопку внутри и «подтвердить, что он не робот» через Captcha. Нажатие перемещало жертву на сайт хакеров, где снова надо было подтвердить, что он не робот, но на этот раз нажатие незаметно для пользователя копировало в буфер обмена вредоносный код.

Далее жертву убеждали выполнить на ее устройстве еще ряд простых команд — с помощью них, в свою очередь, запускался скопированный вредоносный код. После запуска кода с хакерского сервера скачивалась png-картинка с заложенным в нее многокомпонентным загрузчиком — тот содержал в себе как обычные, так и вредоносные файлы.В одном из них был скрыт исполняемый код, который в конечном счете запускал на устройстве пользователя еще одну вредоносную программу — ранее не классифицированный и не описанный никем из исследователей троян удаленного доступа.

Вскрытая BI.ZONE схема с использованием фишинга, фейковой Captcha и ранее неизвестного трояна — пример высокоуровневой и многоступенчатой атаки, в которой сочетаются социальная инженерия и техническая изощрённость, говорит член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин.

«Особенность данной кампании в том, что пользователь сам выполняет ключевые действия, приводящие к заражению устройства, не подозревая, что участвует в атаке», - добавил депутат.

Метод ClickFix, при котором вредоносный код исполняется через действия жертвы, обходя антивирусы и системы мониторинга, становится всё более популярным среди хакеров. Фейковая Captcha и подмена легитимных действий — это попытка «маскировки» под рутинные действия, что делает атаку особенно опасной для сотрудников компаний, привыкших к ежедневной работе с документами и защищёнными системами.

«Особую тревогу вызывает тот факт, что в рамках атаки применён новый троян удалённого доступа, ранее не зафиксированный в открытых базах. Это указывает либо на использование кастомной разработки, либо на появление новой группировки с серьёзными ресурсами. Возможности трояна — сбор информации о системе и удалённое выполнение команд — типичны для шпионского ПО, что говорит о целевом характере атаки», - предупредил депутат.

В этих условиях особенно важно усиливать корпоративные меры кибергигиены: обучение сотрудников, блокировка выполнения подозрительных макросов и скриптов, мониторинг сетевой активности и внедрение решений на базе поведенческого анализа. «Каждая атака подобного уровня должна быть поводом для обновления внутренних протоколов защиты и межведомственного обмена информацией о новых угрозах», - заключил Немкин.