Хакеры захватывают компьютеры через email-бомбардировку

Киберпреступники распространяют вредоносные программы Zbot и DarkGate, устраивая «бомбардировку» электронных почт жертв с целью последующего контакта с ними с использованием социальной инженерии. Эксперт «Газинформсервиса» рассказал, как противостоять подобным атакам.

По данным исследователей из Rapid7, ключевой этап атаки начинается с создания процесса перегрузки почтового ящика жертвы, что достигается регистрацией её электронной почты на множестве сервисов для рассылок. Затем злоумышленники обращаются к пострадавшим, представляясь сотрудниками технической поддержки. Жертвам предлагается установить легитимное ПО удалённого доступа, такое как AnyDesk, TeamViewer или Microsoft Quick Assist, чтобы злоумышленники могли получить контроль над устройствами. «Сотрудник поддержки уже готов решить вашу проблему, только дайте ему необходимый доступ», — говорят хакеры.

После установки ПО удалённого доступа злоумышленники внедряют программы для кражи учётных данных и запуска вредоносных нагрузок, включая Zbot или DarkGate. Цель — получить доступ к VPN-компонентам организации и обойти многофакторную аутентификацию, чтобы напрямую проникнуть в сеть компании.

«Подобная техника с бомбардировкой подписками на рассылки может быть легко использована против корпоративных пользователей. При этом инструментов для воздействия на сотрудника у злоумышленников будет намного больше, нежели чем против частного лица. Немного социальной инженерии, капелька технических средств — и рабочее место может стать точкой проникновения злоумышленников в инфраструктуру компании. При этом классические SIEM-системы могут и не обнаружить подобной атаки, так как хакеры всячески скрывают своё присутствие внутри сети. В данном случае может помочь такой класс продуктов, как UEBA. Например, Ankey ASAP по изменению поведения сущности способен вычислять нелегитимную активность на рабочих станциях и серверах. А механизм скоринга позволяет быстро и качественно присвоить событиям высокую важность и сократить время реагирования на инцидент», — говорит руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервиса» Дмитрий Овчинников.