Хакеры атакуют в Telegram через аватарки

В преддверии майских праздников злоумышленники начали рассылать сотрудникам российских компаний сообщения в Telegram с предложением загрузить себе «пак аватарок для отпуска», которые можно установить в мессенджерах на время своего отсутствия. Во вложении прикреплен вредоносный файл, собирающий личные данные, пишет «Газета.Ru» со ссылкой на руководителя ИБ-направления «Телеком биржи» Александра Блезнекова. 

«Мы зафиксировали новую фишинговую рассылку по сотрудникам организаций, которая приходит от имени якобы HR-отделов. В сообщении говорится, что перед сезоном отпусков дизайнеры компании сделали специальный пак с аватарками, которые можно установить в мессенджерах, чтобы "сообщить коллегам о своем временном исчезновении из рабочих чатов"», – рассказал Блезнеков. 

Вместе с сообщением хакеры отправляют RAR-архив, при открытии которого запускается вредоносный скрипт для поиска и кражи конкретных файлов на устройстве жертвы. Например, он может найти документы с определенными словами в названиях, а потом отправить их злоумышленникам. 

Эксперты отметили, что подобные рассылки являются массовыми и злоумышленники отправили уже более 300 таких сообщений сотрудникам российских ИТ-компаний. Как отметил Блезнеков, большинство таких вирусов нацелены на операционную систему Windows.

«В идеальном сценарии защита компании должна быть выстроена таким образом, что любые действия сотрудников, в том числе с файлами, в корпоративной сети будут анализироваться при помощи механизмов SOC (Security Operation Center). Центр мониторинга киберугроз проверяет события безопасности, которые поступают в систему из различных источников, а когда замечает подозрительную активность – принимает меры для предотвращения атаки», – добавил Блезнеков. 

Например, когда вредоносный скрипт запускается, учетная запись сотрудника моментально блокируется, а его компьютер – изолируется от корпоративной сети и интернета. Это делается для того, чтобы собранные макросом не были отправлены злоумышленникам. Кроме того, можно заблокировать запуск макросов в скачанных на рабочих станциях файлах по умолчанию. 

Ранее мошенники начали рассылать вредоносные вложения .cab, содержащие вирусы и фишинговые ссылки. Обычно пользователи применяют файлы формата .cab (cabinet) для сжатия данных в ОС Windows и установки ПО или обновлений.