Вредоносное ПО замаскировали под финансовые документы

   В сентябре российские компании столкнулись с рассылаемым вредоносным программным обеспечением (ПО), замаскированным под бухгалтерские документы. Его запуск приводил к утечкам личных данных пользователей и подключению их компьютеров к ботнету. Только за месяц подобные письма получили 15,3% российских интернет-пользователей, утверждают в компании Check Point.
   В топ-3 наиболее активных вредоносных программ в России по итогам сентября вошла Pony, распространявшаяся по e-mail под видом бухгалтерских запросов, сообщили "Ъ" в компании Check Point. Два других места в тройке заняли традиционно популярные майнеры криптовалюты - Cryptoloot и XMRig.
   По оценке Check Point, в сентябре в России 15,3% пользователей были атакованы Pony - речь идет о получивших письма с ней, точное количество пострадавших неизвестно.
Pony распространяется через файлы с расширением .exe в письмах с темами, например, "Закрывающие документы вторник" или "Документы сентябрь". После открытия программа устанавливает другое вредоносное ПО, похищает учетные данные пользователей, отслеживает операции на компьютере и превращает его в ботнет - устройство, которое можно использовать для нелегальной деятельности. "Начало осени - время, когда заканчивается сезон отпусков, сотрудники возвращаются в офисы и количество коммуникаций возрастает. Злоумышленники отслеживают тенденции и подстраиваются под них",- поясняет глава представительства Check Point в России и СНГ Василий Дягилев.
   Специалисты "Ростелеком-Solar" фиксировали в сентябре фишинговые письма с похожими заголовками, подтверждает начальник отдела расследования инцидентов Solar JSOC Игорь Залевский. При этом, по словам эксперта, в подобных письмах распространялась не только Pony, но и файлы семейства RTM для удаленного администрирования компьютера, что дает злоумышленникам гораздо более богатый перечень возможностей, чем кража учетных данных.
   "Самая простая и эффективная защита от таких атак - контентная фильтрация на почтовом шлюзе. Необходимо исключить передачу по электронной почте исполняемых файлов любых форматов",- подчеркивает господин Залевский.
   ESET Russia еще в апреле обнаружила вредоносное ПО, нацеленное на финансовые и юридические подразделения компаний, напоминают в пресс-службе разработчика. После того как потенциальная жертва искала образцы каких-либо документов, соответствующие предложения появлялись в рекламе сети "Яндекс.Директ". После перехода по ссылке предлагалось скачать нужный файл, но его запуск приводил к заражению устройства или всей корпоративной системы. После обращения в "Яндекс" баннеры были удалены, говорят в ESET.
   Атаки, подобные Pony,- стандартная практика, констатирует руководитель аналитического центра Zecurion Владимир Ульянов. Среди причин их популярности он называет то, что бухгалтерии работают с важными данными, но далеко не всегда хорошо осведомлены об угрозах информационной безопасности, а значит, такое вредоносное ПО легче монетизировать. "Все компании работают с закрывающими документами, но не все сотрудники знают, как выглядят эти документы,- выше вероятность, что кто-нибудь попадется",- поясняет господин Ульянов. Бороться с такими атаками нужно прежде всего повышением осведомленности персонала, уверен эксперт.
   Pony относится к шпионскому ПО, а оно в целом входит в топ-3 типов вредоносного софта, которым пользуются киберпреступники, указывает старший специалист экспертного центра безопасности Positive Technologies Алексей Вишняков. По оценке компании, во втором квартале 2019 года шпионское ПО было использовано в 27% атак на юридические лица и в 20% атак на частных пользователей. Классические антивирусные решения, работающие по сигнатурному принципу или на основе эмуляции исполняемых файлов, здесь малоэффективны, продолжает господин Вишняков, выявить заражение позволяют средства анализа сетевого трафика и комплексные системы по сбору и мониторингу событий информационной безопасности.

Источник: Коммерсант https://www.kommersant.ru/doc/4134870?from=main_4