Злоумышленники распространяют зловред в спам-рассылках по электронной почте
«Лаборатория Касперского» зафиксировала четырёхкратный рост* кибератак с использованием вредоносного ПО Pure на российские организации. Злоумышленники, как правило, распространяют зловред в спам-рассылках по электронной почте, а в наименовании вложенных файлов используют сокращения от названий документов, действий или ПО, связанных с бухгалтерской сферой.
Как происходит заражение. Сотрудник компании получает спам-письмо с вредоносным вложением в виде RAR-архива или ссылку на архив. В нём содержится исполняемый файл, который маскируется под PDF-документ. В имени файла злоумышленники чаще всего используют шаблонные слова, связанные с бухгалтерской сферой, такие как doc, akt, «акт», sverka, «сверка», buh, oplata, «оплата», а также упоминают известные компании, разрабатывающие бухгалтерское ПО или предоставляющие услуги по его внедрению.
Кроме того, некоторым компонентам зловреда присвоены названия известных банков. Это служит дополнительным признаком, что атаки ориентированы на сотрудников, работающих с платёжной информацией, в частности бухгалтеров.
В чём опасность атак. Вредоносная кампания затрагивает как крупный, так и небольшой бизнес. Действие зловреда направлено на кражу учётных данных, конфиденциальной информации и финансовых средств компаний. В его состав входят бэкдор PureRAT и стилер PureLogs, которые обладают широкой функциональностью и позволяют атакующим получить неограниченный доступ к заражённым системам.
После проникновения на устройство PureRAT способен подгружать несколько десятков дополнительных модулей, каждый из которых выполняет свои функции, например запуск команды на самоудаление, получение доступа к микрофону и камере, выключение или перезагрузку компьютера. Кроме того, в нём содержится функциональность, которая может использоваться для оповещения оператора ботнета о начале работы пользователя с финансовым сервисом. В том случае, если сотрудник отлучается от рабочего места, не закрыв приложение или не выйдя из браузерной сессии, злоумышленник может подключиться в режиме удалённого стола для совершения злонамеренных действий.
«Впервые мы обнаружили семейство зловредов Pure в середине 2022 года. Его особенность заключается в том, что оно распространяется на теневых ресурсах по модели Malware-as-a-Service. Это означает, что разные группы и отдельные злоумышленники могут купить и использовать его по своему усмотрению. Применение бухгалтерской тематики для атак зловреда на российские организации было впервые зафиксировано в марте 2023 года, — комментирует Олег Купреев, эксперт по кибербезопасности в «Лаборатории Касперского». — Важно отметить, что троянцы удалённого доступа (RAT) представляют серьёзную угрозу для организаций, так как пользователь может долгое время оставаться в неведении о том, что злоумышленники получили полный контроль над устройством».
Чтобы защититься от подобных атак, «Лаборатория Касперского» рекомендует организациям:
- обучать сотрудников цифровой грамотности, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, например, маскировки сообщений под бухгалтерскую тематику. Для этого можно использовать онлайн-платформы, например Kaspersky Automated Security Awareness Platform;
- регулярно обновлять программное обеспечение на всех устройствах, чтобы предотвращать проникновение злоумышленников во внутреннюю сеть с использованием уязвимостей;
- проводить аудит безопасности сетей и активов, чтобы вовремя обнаруживать и устранять слабые места внутри периметра или сети организации;
- использовать комплексное решение для обеспечения кибербезопасности, например из линейки Kaspersky Symphony. Продукты, входящие в её состав, обеспечивают видимость угроз и защиту в режиме реального времени, предоставляют возможности уровня EDR и XDR для исследования и реагирования на них. Они подходят для организаций любого размера и отрасли. Вариант, который подойдет небольшим компаниям, — установить решение для защиты рабочих мест, а в дополнение к нему специализированный инструмент для корпоративной почты: Kaspersky Security для бизнеса и Kaspersky Security для почтовых серверов соответственно.
Подробности об исследовании вредоносной кампании — по ссылке: https://securelist.ru/purerat-attacks-russian-organizations/112619/.
* Данные
Kaspersky Security Network с января по апрель 2025 года по сравнению с аналогичным
периодом 2024 года.
