Хакеры кардинально изменили способ кибератак. Вредоносные ссылки больше не в моде
Хакеры не отстают от трендов, как только их техники становятся известны общественности, они тут же находят что-то новое. Специалисты Центра кибербезопасности компании F.A.C.C.T. (бывшая Group-IB) проанализировали фишинговые рассылки, которые перехватило и нейтрализовало решение XDR в третьем квартале этого года, и выявили новые тенденции.
Новые тренды
Хакеры в этом году почти полностью отказались от использования ссылок в фишинговых рассылках в пользу зараженных вирусами вложений. Об этом сообщили аналитики центра кибербезопасности F.A.C.C.T.
По данным F.A.C.C.T., на первое место среди вредоносных начинок фишинговых писем вырвался стилер Formbook - его доля в рассылках увеличилась в четыре раза. AgentTesla, ранее занимавший лидирующие позиции, откатился сразу на третье место, а вторую строчку заняло малоизвестное ВПО DarkGate.
Киберпреступники практически отказались от использования ссылок для доставки вредоносного программного обеспечения (ВПО) - доля фишинговых писем с вложениями увеличилась с 97,3% во втором квартале до 99,1% в третьем этого года. По мнению аналитиков F.A.C.C.T., тренд связан с тем, что такая техника доставки вредоносов не оправдывает затрат в массовых рассылках. Главная задача перед злоумышленником замотивировать потенциального пользователя-жертву кликнуть по ссылке в электронном письме, а это может вызывать ряд проблем в связи с тем, что сотрудники отделов информационной безопасности (ИБ) уже не первый год информируют всех об этом методе кибератаки. Вложение же к электронному письму как привычный элемент почтовой коммуникации реже вызывает подозрения, чем и пытаются воспользоваться хакеры. Здесь срабатывает обычный метод в психологии человека, если ИБ-специалист или сотрудник ИТ-отдела говорил о том, что нельзя кликать по ссылкам, то он ничего не говорил о скачивании файла или его открытии, хотя бы для беглого просмотра. В случае если ИТ-отдел даже предупреждал о файле в формате .jpg, то ничего не говорил о формате .xls или же именно в настоящее время какая-нибудь потенциальная жертва ждет файл по его задаче и т.п.
В 82% вредоносных писем получатели увидят во вложении архив. В шести из десяти случаев это будет .zip и .rar, а также используются ряд других форматов .7z, .z, ..gz. Также в качестве доставщика вирусов продолжают использоваться офисные документы с расширениями .pdf и .docx, доля которых в рассылках незначительно подросла по сравнению с предыдущим кварталом - до 8,8% (+2,4%). Исследователи F.A.C.C.T. отмечают, что хакеры меняют тактику и отказываются от использования электронных таблиц Excel (с расширением .xls) в пользу .pdf и .docx для упаковки ВПО.
Эксперименты злоумышленников продолжаются не только с подачей фишинговых рассылок, но и с их начинкой. На протяжении последних лет, включая первое полугодие этого года, лидером среди вредоносных программ было AgentTesla. Это модульное программное обеспечение (ПО) для шпионажа встречалось как минимум в каждом втором вредоносном письме. В третьем квартале доля AgentTesla среди ВПО в фишинговых рассылках уменьшилась в четыре раза - с 56,1% до 13,4%. В лидеры вышли Formbook Formgrabber, это ИТ-инструмент для кражи учетных записей и персональных данных. Модульное ВПО с широким функционалом в виде загрузчика DarkGate: стилер, средство удаленного управления и в зависимости от аппетитов и наглости атакующих хакеров в софт встроен даже майнер.
Доля Formbook, который и ранее входил в Топ-3 угроз, выросла почти четырехкратно - до 40%. Загрузчик DarkGate был зафиксирован киберразведкой компании F.A.C.C.T. в прошлом году, и по итогам третьего квартала текущего года его доля составила 15%.
Резкое падение доли AgentTesla в рассылках ИБ-специалисты связывают с ликвидацией инфраструктуры этого ВПО летом 2023 г. Проверенный временем стилер Formbook многие выбрали как замену AgentTesla в связи с тем, что с этим и связан рост популярности ИТ-инструмента.
Анализируя функционал ВПО, эксперты F.A.C.C.T. отмечают: самым популярным типом в настоящее время остается шпионский софт, семейства которого распространяются по модели Malware-as-a-service (MaaS). При этом отмечено незначительное снижение доли вредоносных рассылок со шпионами и двукратный рост доли загрузчиков, которые могут установить на устройство пользователя любое другое ВПО. Бэкдоры в качестве первичной вредоносной нагрузки стали встречаться реже — их доля составила 8%.
Чаще всего рассылки третьего квартала проводились в середину рабочей недели (среда -22%), в то время как во втором квартале этого года уже лидировал четверг. Стабильно много фишинговых писем - более 20% - отправляют по понедельникам и вторникам, меньше всего - в воскресенье лишь 1%.
ИБ-эксперты F.A.C.C.T. отмечают снижение доли почтовых рассылок с использованием бесплатных почтовых сервисов, которое продолжается с начала этого года. Более 97% писем с малварь рассылаются с отдельных доменов. Для этих киберопераций хакеры используют как специально созданные домены, так и скомпрометированные почтовые ящики и домены. Чаще всего в этом разрезе фигурируют доменные имена в зоне .com (64%), .ru (5,4%), .net (3%), а также .jp и .org. Нередко хакеры используют спуфинг - это ситуация, в которой злоумышленник маскируется под другого человека, компанию или объект, чтобы завоевать доверие пользователя, как правило, главная цель– получить доступ к ИТ-системам, украсть данные или деньги либо распространить ВПО.
ИТ-атака с поддельными счетами
Хакеры стали использовать API для рассылки поддельных счетов на оплату, которые выглядят как настоящие. Крупная американская компания DocuSign уже оказалась в центре кибератак нового типа.
Компания DocuSign предоставляет сервис, позволяющий загружать, отправлять на подписание, просматривать, подписывать и отслеживать статус различных электронных документов.
Преступники создают платные аккаунты на DocuSign, где настраивают шаблоны с имитацией счетов от известных брендов, таких как Norton Antivirus. Счета включают достоверные данные и часто содержат дополнительные сборы, например «активационный сбор» в размере $50, что придает подделкам еще больше правдоподобности. При подписании такого счета пользователь фактически дает разрешение на оплату, которое злоумышленники могут использовать для перевода денег на свои счета. Такие счета трудно отследить — они приходят напрямую через платформу DocuSign, не имея вредоносных ссылок или вложений, поэтому фильтры электронной почты пропускают их.
Эта схема в настоящее время резко набирает популярность в киберпреступности за рубежом, когда злоумышленники успешно встраивают свои операции в надежные ИТ-платформы, что усложняет их обнаружение.