Фахівці з кібербезпеки FACCT виявили нову схему поширення криптомайнера Xmrig, що використовується для прихованого видобутку криптовалюти Monero. Зловмисники застосовують нестандартний метод – компрометацію поштових скриньок та використання функції автовідповідача для доставки шкідливого програмного забезпечення. Ця тактика активно застосовувалася з кінця травня 2023 року для атак на провідні російські інтернет-компанії, ритейлерів, маркетплейси, а також страхові та фінансові організації.
Механізм атаки та масштаби загрози
За даними FACCT, з кінця травня було заблоковано понад 150 шкідливих розсилок, які здійснювалися за допомогою функції автовідповідача (autoreply) – стандартної опції поштових клієнтів, що дозволяє надсилати заздалегідь підготовлене повідомлення у відповідь на всі вхідні листи. Для маскування атакуючі використовували у своїх листах вкладені скани рахунків на оплату обладнання, що не відповідало тематиці листів. Крім того, в листах містилося посилання на шкідливий архів, розміщений у хмарному сховищі, звідки на комп’ютер жертви завантажувався майнер Xmrig.
Компрометація поштових скриньок та вразливості користувачів
Дослідники встановили, що всі скомпрометовані поштові адреси раніше фігурували в витоках баз даних, які містили облікові дані як у відкритому вигляді, так і у вигляді хешів. Хеші легко підбираються за допомогою райдужних таблиць з заздалегідь розрахованими паролями, оскільки мають мінімальну довжину та включають особисті дані користувачів (імена, прізвища, дати народження тощо). Крім того, багато користувачів зламаних поштових скриньок, судячи з даних витоків, використовували однакові паролі для різних сервісів.
Профіль жертв атаки
Серед постраждалих, чиї поштові скриньки були скомпрометовані, переважно були фізичні особи. Однак також зустрічалися поштові адреси арбітражних керуючих, невеликих торгових компаній, будівельних фірм, меблевої фабрики та фермерського господарства.
Особливості та небезпека нової схеми розповсюдження
Дмитро Єрьоменко, старший аналітик Центру кібербезпеки FACCT, зазначає: “Цей спосіб доставки шкідливого ПЗ небезпечний тим, що потенційна жертва першою ініціює комунікацію – вступає в листування і чекає на відповідь. У цьому полягає головна відмінність від традиційних масових розсилок, де одержувач часто отримує нерелевантний для нього лист і ігнорує його. У даному випадку, хоча лист і не виглядає переконливим, комунікація вже встановлена, і сам факт поширення файлу може не викликати особливої підозри, а лише пробудити інтерес у жертви”.
Ця нова схема атаки підкреслює важливість комплексного підходу до кібербезпеки. Користувачам рекомендується регулярно змінювати паролі, використовувати унікальні комбінації для різних сервісів та застосовувати двофакторну автентифікацію. Організаціям варто посилити моніторинг вхідної та вихідної електронної пошти, а також проводити регулярні навчання співробітників з питань інформаційної безпеки. Лише комплексний підхід до захисту може ефективно протистояти новим викликам у світі кіберзагроз.