В январе была зафиксирована масштабная атака на российские организации с помощью ранее не известного вредоносного ПО, которое распространяется через фишинговые письма. Целями были финсектор, госсектор, транспортная и ИТ-индустрии, ретейл и логистические компании, сообщили ТАСС в компании по управлению цифровыми рисками Bi.Zone.
В компании также отметили, что атаки были многочисленными, через письма злоумышленники распространяли стилер (программу для получения доступа к информации) NOVA — модификацию другого популярного инструмента. Конечной целью было получение аутентификационных данных людей для дальнейшей продажи в дарквебе.
NOVA в замеченных письмах распространялся, маскируясь под архивы с договорами. При этом преступники даже не скрывали нелегитимность прикрепленного к письму файла с вредоносным ПО, делая ставку скорее на массовость рассылок и невнимательность работников компаний. Архив, будучи распакованным, закрепляет стилер в системе и начинает собирать аутентификационные данные, записывать нажатия клавиш, делать снимки экрана и извлекать данные из буфера обмена.
Новый стилер — модификация к стилеру SnakeLogger, следы которого видны в 23% подобных фишинговых атак. Мошенники часто копируют известное вредоносное ПО, объясняет глава Bi.Zone Threat Intelligence Олег Скулкин, отмечая в новом варианте оптимизацию кода и обновление архитектуры. "NOVA сложнее распознать привычными средствами обнаружения", — предупредил специалист.