15/11/24
Как сообщили исследователи IBM X-Force, эта волна атак нацелена в первую очередь на Испанию, Германию и Украину. Злоумышленники рассылают фишинговые письма с настоящими счетами-фактурами, чтобы обмануть получателей и повысить успешность заражения.
Hive0145 действует с конца 2022 года, ориентируясь на кражу данных через Strela Stealer, который извлекает информацию из Microsoft Outlook и Mozilla Thunderbird. С середины 2023 года количество атак и их сложность значительно возросли, пишет Securitylab.
С июля 2024 года Hive0145 изменила тактику: вместо простых фишинговых сообщений хакеры начали использовать реальные письма со взломанными вложениями. Такой метод повышает доверие к письму, так как оригинальный контент не меняется. Ранее подобные подходы применяли группировки вроде Emotet.
Чтобы обойти системы безопасности, киберпреступники начали использовать редкие типы файлов, такие как «.com» и «.pif», а также сложные скрипты для обхода защиты. Эксперты IBM X-Force отметили, что Hive0145 может частично автоматизировать свои процессы, что позволяет группе увеличивать частоту атак.
Основной целью Strela Stealer остаются данные электронной почты. Программа настроена на работу на устройствах с определёнными языковыми раскладками клавиатуры, что делает её эффективной при атаках на пользователей из Испании, Германии и Украины.
