В новый год — с новым стилером: январь начался с масштабной волны атак на российские компании

Злоумышленники использовали новый стилер NOVA — модификацию известного SnakeLogger. Полученные аутентификационные данные другие кластеры могут задействовать в своих целевых атаках на скомпрометированные компании

29 января 2025 г.

В январе 2025 года специалисты BI.ZONE зафиксировали многочисленные атаки, нацеленные на российские организации разных отраслей, включая финансовый сектор, ритейл, IT, госсектор, транспорт и логистику.

Злоумышленники похищают аутентификационные данные для дальнейшей продажи на теневых ресурсах. В атаках используется коммерческий стилер NOVA — видоизмененная версия популярного SnakeLogger.

Злоумышленники часто создают копии известного ВПО и меняют его характеристики, чтобы обойти современные средства защиты. Так случилось и с популярным SnakeLogger, который применяется в 23% атак с использованием стилеров. Злоумышленники модифицировали его и создали форк NOVA. Новый инструмент несколько отличается от предшественника: за счет оптимизации кода и обновления архитектуры NOVA его сложнее распознать привычными средствами обнаружения.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Атакующие доставляют стилер с помощью фишинговых писем, распространяя ВПО под видом архива с договорами. Обычно в таких случаях используют двойное расширение и привычные для пользователя иконки, например изображение Word или PDF. Это позволяет скрыть от жертвы, что файл исполняемый.

Злоумышленники не маскируют вложение с NOVA под легитимный документ. Они лишь присваивают файлу допустимое имя (Договор.exe). То есть делают ставку не на тщательную маскировку фишинга, а на массовость рассылок и невнимательность сотрудников, которые регулярно взаимодействуют с большим количеством электронных писем.

После распаковки и закрепления в системе стилер собирает сохраненные аутентификационные данные, записывает нажатия клавиш, делает снимки экрана и извлекает данные из буфера обмена.

Стилер NOVA появился в продаже в Telegram в августе 2024 года по цене 50 долларов за месяц использования или 630 долларов за бессрочную лицензию. Вдобавок разработчик предлагает криптор, который защищает ВПО от обнаружения. Его цена стартует с 60 долларов за месяц и доходит до 150 долларов за три месяца применения.

Для защиты от стилеров рекомендуется использовать системы класса privileged access management (управление привилегированным доступом), например BI.ZONE PAM. Они поддерживают одноразовые пароли и позволяют настроить ротацию секретов для подключения к критическим элементам IT‑инфраструктуры.

Для отслеживания на теневых ресурсах скомпрометированных корпоративных учетных записей помогут порталы киберразведки, такие как BI.ZONE Threat Intelligence. На нем собраны данные о скомпрометированных учетных записях по интересующему email, почтовому домену, а также по конкретному URL‑адресу ресурса.