В них содержится бэкдор BrockenDoor
«Лаборатория Касперского» обнаружила новую схему распространения бэкдора BrockenDoor, причём на этот раз злоумышленники нацелились на другие отрасли и сменили легенду. Если в конце 2025 года они атаковали российские медицинские учреждения, то теперь вредоносные рассылки преимущественно получают промышленные предприятия. Письма имитируют уведомления о якобы обнаруженных признаках административных нарушений в ходе предрейсовой проверки технического состояния транспорта и медосмотра водителя. Во вложении содержится зловред, который позволяет атакующим управлять заражённым компьютером и собирать конфиденциальные данные.
От некачественного лечения к нарушениям техосмотра транспорта
В декабре 2025 года злоумышленники рассылали вредоносные письма с бэкдором Brockendoor российским медучреждениям, маскируя их под сообщения от известных страховых компаний и больниц и угрожая судебным разбирательством из-за якобы плохого качества оказанных медицинских услуг. В феврале 2026 года они начали подделывать предупреждения от госучреждений, используя транспортную тематику.
В письмах злоумышленники утверждают, что во время проверки у организации нашли признаки административного нарушения. Повод звучит серьёзно: компанию обвиняют в том, что она якобы отправила транспорт с нарушениями требований безопасности дорожного движения — без должного предрейсового техосмотра или медицинского осмотра водителя. Чтобы письма выглядели убедительно, атакующие выдают себя за действующих сотрудников ведомств и используют адреса электронной почты, имитирующие названия реальных госучреждений.
Во вложении якобы находятся акт проверки и форма, с помощью которой необходимо дать пояснения по поводу этой ситуации. Файлы содержатся в архиве, пароль от которого указан прямо в теле письма. Обычно злоумышленники прибегают к такой уловке, чтобы затруднить обнаружение защитными решениями. Вместо документов внутри — как и в предыдущей кампании — скрывается бэкдор BrockenDoor.
После установки на компьютер жертвы программа связывается с сервером злоумышленников и может передавать им различную информацию, например имя пользователя, сведения о компьютере и системе, список файлов на рабочем столе. Если она покажется им интересной, бэкдор получает команды для запуска дальнейших сценариев атаки.
«Несмотря на то что атакующие сменили легенду и цели, основные приёмы остались прежними. Как и в предыдущей кампании, они делают ставку на человеческий фактор, рассчитывая, что сотрудники под влиянием эмоций откроют вредоносные вложения. Чтобы добиться этого, они запугивают получателей возможными проблемами для компании, а также тщательно маскируют письма, например используют названия реальных ведомств и адреса электронной почты, похожие на официальные. Поэтому важно обучать сотрудников основам кибербезопасности, в том числе рассказывать, как распознать фишинг и другие методы социальной инженерии. Также необходимо использовать надёжные защитные решения», — комментирует Анна Лазаричева, спам-аналитик в «Лаборатории Касперского».
Чтобы защититься от подобных атак, «Лаборатория Касперского» также рекомендует организациям:
- проводить обучающие тренинги для сотрудников. В этом помогут специализированные курсы или тренинги, например Kaspersky Automated Security Awareness Platform;
- использовать решение, которое будет автоматически блокировать подозрительные письма, проверять запароленные архивы и использовать технологию CDR, такое как Kaspersky Security для почтовых серверов в расширенной версии KSMS Plus.
- предоставлять ИБ-специалистам доступ к данным о киберугрозах с помощью решений класса Threat Intelligence, чтобы оставаться в курсе актуальных техник, тактик и процедур злоумышленников;
- делать выбор в пользу комплексных продуктов, которые позволят выстроить гибкую и систему безопасности, включая обеспечение надёжной защиты рабочих мест, сбор и анализ данных о событиях безопасности со всех источников в инфраструктуре, выявление и остановку атак любой сложности на ранних стадиях и обучение сотрудников базовым навыкам цифровой грамотности. Комбинации таких решений под потребности компании любого масштаба содержатся в линейке продуктов для защиты бизнеса Kaspersky Symphony.
