В 97% рассылок вредоносное ПО спрятано во вложениях - IT Speaker, новости информационных технологий

В 97% рассылок вредоносное ПО спрятано во вложениях

Редакция

13:20 / 31 июля 2024

Специалисты компании F.A.С.С.T. изучили вредоносные почтовые рассылки, которые киберпреступники рассылали во втором квартале 2024 года. Так, в апреле – июне этого года фишинговые письма чаще всего отправлялись по четвергам. 

Фотография unsplash

Исследование показало, что пик вредоносных рассылок постепенно смещается со вторника и среды, больше всего фишинговых писем злоумышленники отправляли в четверг — 22,5% от всех писем за неделю. Меньше всего вредоносных сообщений отправлялось в воскресенье. 

Также выяснилось, что для фишинговых рассылок злоумышленники все реже используют бесплатные публичные почтовые домены, несмотря на относительную простоту процесса. Более 96,5% писем с вредоносным содержимым рассылаются с отдельных доменов:  скомпрометированные почтовые ящики и доменные имена или подмена адреса отправителя в электронном письме с помощью спуфинга повышают вероятность вызвать доверие у жертвы, отмечают эксперты. 

Более того, в фишинговых рассылках киберпреступники, которые могут атаковать российских пользователей из любой точки мира, все чаще используют легенду, связанную с Россией и СНГ. Так, в 2023 году менее 6% писем имели отношение к РФ и ближайшим странам, а остальные были массовыми нетаргетированными  рассылками без подготовки: например, сообщения  на английском с просьбой провести оплату или о готовности приобрести «вашу продукцию». В 2024 году уже более 13% фишинговых рассылок, которые приходят на электронные адреса российских компаний, написаны на русском или другом языке стран СНГ. 

Несмотря на постепенное снижение числа рассылок через бесплатные почтовые сервисы, киберпреступники продолжают их активно использовать. Во втором квартале доля самого часто встречающейся общедоступной почтовой службы Gmail в фишинговых рассылках сократилась с 80,4% до 49.5%, а вот российских сервисов, наоборот, выросла почти в три раза с 13,1 до 35,3%. 

Как правило, киберпреступники в массовых фишинговых рассылках использовали вложения для доставки вредоносного ПО (ВПО) на конечные устройства — их доля составила более 97%. Доля писем с вредоносными ссылками увеличилась с 1,6% до 2,7%. Часто, используя ссылку на загрузку ВПО, злоумышленники стараются таким образом определить, кто переходит по ссылке чтобы предотвратить обнаружение средствами защиты. 

По типу вредоносного программного обеспечения самыми распространенными являются инструменты для сбора данных и шпионажа. Наиболее часто встречающимися вредоносными программами в письмах во втором квартале 2024 года  по-прежнему является шпионская программа Agent Tesla (в 56,1% вредоносных рассылок), загрузчик CloudEyE (11%), стилер FormBookFormgrabber (10,5%). 

Интересной особенностью вредоносных рассылок стало использование киберпреступниками программы-шифровальщика LockBit. Рассылка такой категории вредоносных программ не является типичной: программы-шифровальщики, как правило, применяются атакующими на финальном этапе атаки, Impact (деструктивное воздействие), когда инфраструктура компании уже скомпрометирована, в то время как рассылка вредоносного ПО на почтовые ящики чаще является еще только попыткой получения первоначального доступа. 

В то же время, согласно исследованию Positive Technologies, по итогам первого полугодия 2024 года Россия вышла на первое место по числу объявлений о продаже баз данных компаний на даркнет-форумах с долей объявлений около 10%.

В топ-5 лидеров также вошли США (8%), Индия (7%), Китай (6%) и Индонезия (4%). Отметим, что слитые базы нередко содержат персональные данные из учетных записей, а также коммерческую тайну.

Поделиться новостью