16/04/25
Инцидент был выявлен после того, как бывший сотрудник компании получил подозрительное уведомление от этого сервиса. Письмо содержало ссылку на архив с названием DESIGN LOGO.rar, а в сопроводительном тексте говорилось о якобы деловом запросе: уточнении цен, сроков доставки и условий оплаты.
Получатель не стал переходить по ссылке, а передал письмо специалистам. Анализ показал, что уведомление действительно рассылалось через GetShared, и на момент публикации этот сервис всё чаще используется киберпреступниками для обхода почтовых фильтров. Письма от GetShared выглядят как обычные нотификации: содержат название отправленного файла, краткий текст и кнопку перехода к файлу. Это позволяет злоумышленникам «замаскировать» атаку под легитимный документооборот.
Как объясняют специалисты, киберпреступники часто выбирают легитимные платформы, чтобы обойти почтовые фильтры и защиту шлюзов. Для этих целей используются такие сервисы, как Google Calendar, Dropbox и другие. С усложнением фильтров и правил регистрации на крупных сервисах, злоумышленники ищут новые обходные пути, и сейчас их внимание привлек именно GetShared.
Главная цель подобных писем — вовлечь получателя в переписку. Даже если файл из письма не содержит вредоносного кода, киберпреступники надеются начать коммуникацию, чтобы впоследствии использовать методы социальной инженерии. В некоторых случаях ссылка ведёт на заражённый файл, в других — на ресурс с фишинговой формой или исполняемым вложением.
В случае с письмом на имя бывшего сотрудника настораживает несоответствие между названием архива и содержанием сообщения. В тексте говорилось о товарах и ценах, тогда как имя файла указывает на дизайн-проект. Также внимание привлек адрес отправителя — простой поиск домена показал, что он связан с мошеннической активностью.
Эксперты подчеркивают: использование стороннего сервиса для первоначального контакта, без предварительного делового диалога, — уже повод для сомнений. При этом ни один из крупных клиентов, в случае необходимости передачи файлов, не начнёт взаимодействие с нотификации от третьего сервиса без предварительной договорённости.
