Злоумышленники чаще всего атакуют российские компании с помощью троянов удаленного доступа и стилеров

Трояны удаленного доступа (RAT), которые позволяют киберпреступникам удаленно выполнять команды на скомпрометированном устройстве, используются более чем в половине атак

5 ноября 2024 г.

Еще в 29% случаев злоумышленники применяют стилеры, с помощью которых крадут аутентификационные данные и другую чувствительную информацию. Тройку лидеров замыкают загрузчики (16%): их используют, чтобы загружать на устройство жертвы различные экземпляры ВПО и инструментов.

Стилеры позволяют киберпреступникам получать сведения о скомпрометированных устройствах, включая версию ОС и информацию об оборудовании, а также данные из криптокошельков, почтовых клиентов, браузеров и других приложений, в том числе логины и пароли. При этом полученный аутентификационный материал может в дальнейшем использоваться для более сложных целевых атак на скомпрометированные организации.

Наиболее популярные стилеры — это FormBook (29%), SnakeLogger (23%), Rhadamantys (17%) и PureLogs Stealer (11%). Пятерку лидеров замыкает MetaStealer, который используется почти в 10% атак. Фактически это аналог популярного стилера RedLine, который отличается отсутствием ограничений на использование против компаний из России и других стран СНГ.

Отсутствие запрета от разработчиков MetaStealer на применение против российских организаций — важное преимущество для злоумышленников. Например, этот стилер охотно использует группировка Venture Wolf, нацеленная на промышленность, строительство, IT, телеком и некоторые другие отрасли. Злоумышленники активны с ноября 2023 года и провели не менее 10 кампаний против российских организаций. Для доставки MetaStealer группировка рассылает фишинговые письма с архивами. В них содержится загрузчик с расширением .com (реже — .exe), который после запуска внедряет стилер на устройство жертвы.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

В качестве отвлекающих документов Venture Wolf нередко использует карточки организаций, в которых указаны реквизиты и адреса компаний. Многие злоумышленники прибегают к такому приему, поскольку использование информации о реальных организациях делает фишинговое письмо более правдоподобным и вызывает доверие у пользователя. Важно помнить, что обладатели торговых марок не несут ответственности за действия киберпреступников и причиненный в результате ущерб.

Злоумышленники рассылают электронные письма с архивом, который содержит загрузчик и несколько фишинговых документов. После того как жертва открывает вложение, происходит расшифровка и загрузка стилера.

Фишинговые рассылки — один из наиболее распространенных способов получения первоначального доступа в IT‑инфраструктуру. Решения для защиты электронной почты, например BI.ZONE CESP, помогут обезопасить корпоративную почту от вредоносных писем за счет механизмов фильтрации и технологий машинного обучения.

Чтобы получать информацию о наиболее актуальных для компании угрозах, рекомендуется использовать порталы киберразведки, например BI.ZONE Threat Intelligence. Эти данные позволят обеспечить бесперебойную работу СЗИ и ускорить реагирование на инциденты.