Специалисты по кибербезопасности обнаружили новую тактику распространения вредоносного программного обеспечения, использующую скомпрометированные почтовые ящики и функцию автоответчика. Эта изощренная схема нацелена на распространение криптомайнера Xmrig, предназначенного для скрытой добычи криптовалюты Monero.
Механизм атаки: эксплуатация доверия через автоответчики
Злоумышленники получают несанкционированный доступ к почтовым аккаунтам и настраивают функцию автоматического ответа (autoreply). Когда ничего не подозревающий пользователь отправляет письмо на скомпрометированный адрес, он получает автоматический ответ, содержащий вредоносное вложение или ссылку на зараженный файл.
Этот метод особенно коварен, так как жертва сама инициирует коммуникацию и ожидает ответного письма. В отличие от традиционных фишинговых рассылок, где получатель может проигнорировать подозрительное сообщение, здесь контакт уже установлен, что повышает шансы на успех атаки.
Масштаб и цели атак
С конца мая 2023 года эксперты FACCT заблокировали более 150 вредоносных рассылок, использующих эту схему. Атаки были направлены на широкий спектр целей, включая:
- Ведущие российские интернет-компании
- Ритейлеров и маркетплейсы
- Страховые и финансовые организации
- Физических лиц
- Арбитражных управляющих
- Небольшие торговые и строительные компании
Техника маскировки и распространения вредоносного ПО
Для повышения правдоподобности атакующие используют в своих сообщениях вложенные сканы счетов на оплату оборудования, не связанного с темой переписки. Кроме того, письма содержат ссылку на вредоносный архив, размещенный в облачном хранилище. При переходе по ссылке на устройство жертвы загружается криптомайнер Xmrig.
Источник компрометации: утечки баз данных
Расследование показало, что все скомпрометированные почтовые адреса ранее фигурировали в утечках баз данных. Эти утечки содержали учетные данные как в открытом виде, так и в виде хешей. Злоумышленники легко подбирают слабые пароли с помощью «радужных таблиц» — заранее просчитанных комбинаций.
Рекомендации по защите
Для минимизации рисков компрометации почтовых аккаунтов и защиты от подобных атак рекомендуется:
- Использовать уникальные и сложные пароли для каждого сервиса
- Включить двухфакторную аутентификацию
- Регулярно проверять настройки почты на наличие подозрительных правил автоответа
- С осторожностью относиться к неожиданным вложениям и ссылкам, даже если они получены от знакомых адресатов
- Использовать современное антивирусное ПО и поддерживать его в актуальном состоянии
Данная схема атаки демонстрирует растущую изощренность киберпреступников и подчеркивает важность комплексного подхода к кибербезопасности. Организациям и частным лицам необходимо постоянно повышать уровень осведомленности о новых угрозах и применять многоуровневые меры защиты для противодействия современным кибератакам.