Вредоносный ответ: эксперты ЦК F.A.C.C.T. обнаружили необычный способ рассылки майнера
19/09/24
Специалисты Центра кибербезопасности компании F.A.C.C.T. зафиксировали новый способ доставки майнера Xmrig — вредоносного ПО, предназначенного для скрытой добычи криптовалюты Monero — при помощи настроенных автоматических autoreply-ответов со скомпрометированных почтовых адресов. Начиная с конца мая схема использовалась для атак на ведущие российские интернет-компании, ритейл и маркетплейсы, страховые и финансовые компании.
С конца мая 2024 года система F.A.C.C.T. Business Email Protection заблокировала более 150 вредоносных рассылок, которые отправлялись с почтового сервиса с использованием автоответчика (autoreply) – стандартной функции почтовиков, позволяющей отправлять подготовленное сообщение на все входящие письма.
В качестве маскировки атакующие в рассылках использовали вложенный скан счета на оплату оборудования, однако в самих письмах находилась ссылка на вредоносный архив на облачном сервисе. Отсюда и загружался майнер Xmrig, который поддерживает популярные алгоритмы майнинга и, в основном, используется для добычи монеты Monero.
Поскольку включить функцию автоответчика можно только, обладая доступом к почте, аналитики предположили, что столкнулись с массовой компрометацией почтовых адресов. В ходе их изучения было выяснено, что все они фигурировали в утечках баз данных, которые содержат в себе учетные данные как в открытом виде, так и в виде хэшей, которые легко подбираются методом радужных таблиц, содержащих заранее просчитанные пароли, так как имеют минимальную длину и личные данные пользователей (имена, фамилии, дары рождения и т.д.).
Напомним, что, по данным F.A.C.C.T., в первом полугодии 2024 г. в публичном доступе оказались 150 баз данных российских компаний. Общее количество строк данных пользователей, попавших в утечки в 2024 году, составило 200,5 млн.
Среди пользователей, чьи почтовые ящики были скомпрометированы, были замечены, в основном, физические лица, однако также есть почты арбитражных управляющих, небольших торговых компаний, строительных компаний, мебельной фабрики и фермерского хозяйства.
«Данный способ доставки ВПО опасен тем, что потенциальная жертва первая инициирует коммуникацию — вступает в переписку и ждет ответное письмо, — замечает Дмитрий Ерёменко, старший аналитик Центра кибербезопасности F.A.C.C.T. — В этом состоит главное отличие от традиционных массовых рассылок, где получатель часто получает нерелевантное для него письмо и игнорирует его. В данном случае, хотя письмо не выглядит убедительным, коммуникация уже установлена и сам факт распространения файла может не вызывать особого подозрения, а лишь пробудить интерес у жертвы».
Специалисты ЦК рекомендуют пользователям соблюдать правила цифровой гигиены, использовать сложные и уникальные пароли, которые не содержат личной информации и не подверженных атаке по словарю или прямому перебору. Использовать менеджеры паролей (aka KeePass). Установить для аккаунтов, где возможно, второй фактор.
Также во избежание утечек пароля не стоит сохранять пароли в браузерах, устанавливать нелицензионное ПО, потому что оно может содержать стилеры, не переходить по сомнительным ссылкам на почте и не вводить свои данные на сомнительных сайтах (фишинг). Нужно избегать переходов по ссылкам и аутентификаций в мессенджерах, особенно когда просят проголосовать за кого-то или внезапно «выигрывается» денежнаяя сумма и прочие схемы развода и фишинга.
Для защиты от подобно типа атак рекомендуем компаниям
- Проводить регулярные обучения рядовых сотрудников организации для повышения знаний об актуальных угрозах в области информационной безопасности.
- Иметь строгую парольную политику с многофакторной аутентификацией (MFA) и регулярным обновлением паролей.
- Проводить мониторинг фактов компрометации учетных записей корпоративных пользователей, их публикации или на продажи на теневых площадках.
- Защищать корпоративную почту с помощью решений F.A.C.C.T. BEP и F.A.C.C.T. MXDR.