Хакеры ошиблись и установили не тот файл

Группировка Scaly Wolf попыталась использовать новый инструмент, чтобы эффективнее внедрять в инфраструктуру организаций стилер White Snake – вредоносное ПО для кражи данных. Но вместо стилера на скомпрометированные устройства устанавливался легитимный файл, не причинявший никакого ущерба. 

Группировка Scaly Wolf, ранее неоднократно атаковавшая организации России и Беларуси, снова активизировалась в конце марта 2024 года. Злоумышленники провели с разных email-адресов не менее шеcти фишинговых рассылок, нацеленных на промышленные и логистические компании, а также государственные организации. Злоумышленники планировали получить доступ к корпоративным данным с помощью стилера White Snake, который использовали в прежних кампаниях. Это вредоносное ПО позволяет собирать сохраненные в браузере логины и пароли, записывать нажатия клавиш, копировать документы с зараженного компьютера, получать к нему удаленный доступ и т. д. Группировка действовала по привычной схеме, маскируя фишинг под официальные письма от федеральных ведомств. 

По плану, получив «уведомление от регулятора», жертва должна была открыть приложенный ZIP-архив. Раньше Scaly Wolf просто помещала стилер в архив, но теперь злоумышленники пошли более сложным и, как им казалось, более надежным путем — воспользовались вредоносным загрузчиком. При открытии архива он должен был внедриться в приложение «Проводник» и установить последнюю версию White Snake. 

Олег Скулкин, руководитель BI.ZONE Threat Intelligence, отмечает, что злоумышленники обновили способ доставки стилера в целевые системы, чтобы эффективнее обходить средства защиты, но сделали это в спешке. Это привело к тому, что вместо вредоносного ПО White Snake в систему копируется легитимный файл explorer.exe — «Проводник». 

«То есть даже в случае успешной атаки преступники не достигали главной цели: не получали доступ к чувствительным данным и скомпрометированной системе», — добавляет эксперт. 

В ходе неудавшейся кампании Scaly Wolf использовали последнюю версию White Snake, которая появилась в продаже на теневых ресурсах только в конце марта. Тогда же разработчики объявили «весенние скидки»: приобрести доступ к программе на полгода можно было за 500 долларов вместо 590, на год — за 800 вместо 1100, бессрочно — за 1000 вместо 1950. 

Ранее разработчики стилера говорили, что один из покупателей якобы модифицировал их вредоносное ПО и сумел обойти запрет на атаки в России и странах СНГ. Подобным заявлением разработчики хотели избежать блокировки на популярных теневых ресурсах. В последней версии стилера модуль, блокирующий применение программы на территории России и других стран СНГ, отсутствует.