Эксперты по кибербезопасности из компании BI.ZONE выявили новую тактику шпионской группировки Squid Werewolf. Вместо классических фишинговых писем от имени регуляторов и госструктур злоумышленники начали выдавать себя за HR‑менеджеров крупных компаний. Такой подход позволил им успешно атаковать организации в Южной Корее, Японии, Вьетнаме, России, США, Индии, ОАЭ и других странах, рассказали информационной службе Хабра в пресс‑службе BI.ZONE.
В конце 2024 года Squid Werewolf попытались проникнуть в одну из российских компаний. Предположив, что на компьютере сотрудника может находиться ценная информация, злоумышленники отправили ему письмо с предложением о трудоустройстве в реальной промышленной организации. Чтобы повысить шансы на успех, в письме содержались данные о предполагаемой зарплате, а во вложении находился файл с вредоносным кодом.
По данным BI.ZONE Threat Intelligence, атакующие заранее собрали информацию о жертве и подготовили несколько уровней защиты для маскировки вредоносного кода. В фишинговом письме содержался ZIP‑архив с файлом «Предложение о работе.pdf.lnk». Открытие этого файла запускало вредоносное ПО, которое предоставляло злоумышленникам доступ к конфиденциальным данным.
Руководитель BI.ZONE Threat Intelligence Олег Скулкин отметил, что киберпреступники всё реже используют документы Microsoft Word и Excel. Это связано с тем, что Microsoft ужесточила защиту и стала блокировать выполнение макросов в скачанных файлах. В современных атаках злоумышленники предпочитают архивы с исполняемыми файлами, скриптами и ярлыками. По статистике, в 2024 году 57% целевых атак на российские компании начинались с фишинговых писем.
Источник новости: habr.com
