Все о Цифровых системах - новости, статьи, обзоры, аналитика. Более 1000 компаний, товаров и услуг в каталоге.
Добавить компанию

Эксперты Solar 4RAYS выявили новую волну фишинга на компании под видом рассылки от приставов

Рубрика: «Кибербезопасность»

Вредоносное ПО DarkWatchman RAT известно давно — впервые российские компании столкнулись с подобными рассылками еще в 2021 году. С тех пор злоумышленники периодически проводят подобные кампании, меняя легенду и шаблоны писем. Сам вирус также совершенствуется: злоумышленники придумывают сложные методы доставки и загрузки. Эти изменения делают программу более устойчивой к детектированию антивирусными средствами и усложняют ее анализ.

Очередной всплеск фишинга эксперты Solar 4RAYS зафиксировали в конце февраля с помощью сети сенсоров и ханипотов: количество обращений к управляющему серверу DarkWatchman резко выросло почти в 5 раз. Нынешняя волна фишинга с данным вредоносом — самая мощная с начала года. О письмах с этим ВПО также сообщил ряд клиентов «Солара» — все подозрительные сообщения компании направили в «карантин» и на проверку специалистам Solar 4RAYS.

В новой рассылке злоумышленники замаскировали свое письмо под официальные уведомления от Межрайонного отдела судебных приставов по ИПНО города Москвы:

злоумышленники замаскировали свое письмо под официальные уведомления от Межрайонного отдела судебных приставов

Все письма были отправлены с поддельного адреса электронной почты. Внутри каждого сообщения находился архив с именем 'Исполнительный лист №27186421-25 от <date>.zip'. Внутри скрывался вредоносный исполняемый файл, который при запуске устанавливал на хост жертвы DarkWatchman RAT.

Основная функция этого трояна — кейлоггер, который незаметно фиксирует каждое нажатие клавиш на клавиатуре жертвы, позволяя злоумышленникам получать доступ к паролям, банковским данным и другой чувствительной информации. DarkWatchman также обладает возможностями бэкдора, что позволяет киберпреступникам удаленно управлять зараженными системами, загружать новые файлы и выполнять различные команды.

«Несмотря на внешнюю простоту, подобные вредоносы представляют серьезную угрозу для корпоративной и личной кибербезопасности. Атакующие на протяжении уже четырех лет проводят все новые рассылки и совершенствуют DarkWatchman RAT в части техник обхода средств защиты. Например, исследованный нами образец использовал технику Reflective DLL Loading, которая не оставляет следов на диске атакованного компьютера и таким образом затрудняет обнаружение заражения защитными средствами», — отметил эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар» Иван Тимков.

Для предотвращения заражения и дальнейшего развития атаки DarkWatchman RAT (и подобного ВПО) эксперты советуют регулярно проводить тренинги по кибербезопасности для сотрудников компании, а также использовать решения для защиты электронной почты (Secure Email Gateway), которые предотвращают доставку фишинговых писем до конечного пользователя.