F.A.C.C.T.: Найден необычный способ рассылки майнера - IT Speaker, новости информационных технологий

F.A.C.C.T.: Найден необычный способ рассылки майнера

Редакция

18:20 / 19 сентября 2024

Специалисты Центра кибербезопасности компании F.A.C.C.T. обнаружили новый способ доставки майнера Xmrig — вредоносного ПО, предназначенного для скрытой добычи криптовалюты Monero. Доставка ведется при помощи настроенных автоматических autoreply-ответов со скомпрометированных почтовых адресов. Начиная с конца мая схема использовалась для атак на ведущие российские интернет-компании, ритейл и маркетплейсы, страховые и финансовые компании.

Фотография unsplash

Отметим, что с конца мая 2024 года система F.A.C.C.T. Business Email Protection заблокировала более 150 вредоносных рассылок, которые отправлялись с почтового сервиса с использованием автоответчика (autoreply) — стандартной функции почтовиков, позволяющей отправлять подготовленное сообщение на все входящие письма.

В качестве маскировки киберпреступники в рассылках использовали вложенный скан счета на оплату оборудования, однако в самих письмах находилась ссылка на вредоносный архив на облачном сервисе. Отсюда и загружался майнер Xmrig, который поддерживает популярные алгоритмы майнинга и, в основном, используется для добычи монеты Monero.

Поскольку включить функцию автоответчика можно только обладая доступом к почте, аналитики предположили, что столкнулись с массовой компрометацией почтовых адресов. В ходе их изучения было выяснено, что все они фигурировали в утечках баз данных, которые содержат в себе учетные данные как в открытом виде, так и в виде хэшей, которые легко подбираются методом радужных таблиц, содержащих заранее просчитанные пароли.

Среди пользователей, чьи почтовые ящики были скомпрометированы,  были замечены, в основном, физические лица, однако также есть почты арбитражных управляющих, небольших торговых компаний, строительных компаний, мебельной фабрики и фермерского хозяйства.

«Данный способ доставки ВПО опасен тем, что потенциальная жертва первая инициирует коммуникацию — вступает в переписку и ждет ответное письмо. В этом состоит главное отличие от традиционных массовых рассылок, где получатель часто получает нерелевантное для него письмо и игнорирует его. В данном случае, хотя письмо не выглядит убедительным, коммуникация уже установлена и сам факт распространения файла может не вызывать особого подозрения», — заявил старший аналитик Центра кибербезопасности F.A.C.C.T. Дмитрий Еременко. 

Однако опасность может крыться в обычных вещах. Так, доктор технических наук, заведующая кафедрой КБ-4 «Интеллектуальные системы информационной безопасности» РТУ МИРЭА Елена Максимова рассказала, что веб-камера, которая установлена на ноутбуке, может быть использована для слежки за владельцем.

«Современные камеры обладают высоким разрешением и могут передавать видео в режиме реального времени. Для того чтобы камера включилась и начала передачу видео, необходимо установить и запустить соответствующее программное обеспечение», — сказала Максимова.

Поделиться новостью