Специалисты BI.ZONE выявили масштабные кибератаки на российские организации в январе 2025 года. Среди пострадавших — компании из финансового сектора, ретейла, IT, госсектора, транспорта и логистики. Злоумышленники применяли коммерческий стилер NOVA — модификацию известного SnakeLogger.
По данным BI.ZONE, NOVA используется для кражи данных аутентфиции на разных ресурсах, которые впоследствии продаются на даркнете. В ходе анализа установлено, что злоумышленники распространяли стилер через фишинговые письма с вредоносными вложениями, замаскированными под архивы с договорами. Олег Скулкин
Руководитель BI.ZONE Threat Intelligence
«Злоумышленники часто создают копии известных ВПО и меняют их характеристики, чтобы обойти современные средства защиты. Так случилось и с популярным SnakeLogger, который применяется в 23% атак с использованием стилеров. Злоумышленники модифицировали его и создали форк NOVA. Новый инструмент несколько отличается от предшественника: за счет оптимизации кода и обновления архитектуры NOVA сложнее распознать привычными средствами обнаружения».
При распространении NOVA киберпреступники используют простую тактику: они называют исполняемые файлы именами вроде «Договор.exe», не прибегая к сложной маскировке. Атака реализуется с помощью масштабных рассылок и невнимательности сотрудников, обрабатывающих большое количество электронных писем.
После установки в систему NOVA извлекает сохраненные пароли, записывает нажатия клавиш, делает скриншоты и копирует данные из буфера обмена.
По данным BI.ZONE, стилер появился в продаже в Telegram в августе 2024 года. Его стоимость составляет $50 за месяц использования или $630 за бессрочную лицензию. Разработчик также предлагает криптор, затрудняющий обнаружение стилера антивирусами. Цена криптора варьируется от $60 до $150 в зависимости от срока использования.
Источник новости: habr.com
