Русский язык, местные реалии: фишинг становится персонализированным

Компания F.A.С.С.T. провела исследование вредоносных почтовых рассылок за второй квартал 2024 года. Анализ показал ряд значимых изменений и тенденций, на которые стоит обратить внимание компаниям и пользователям для защиты от киберугроз.

Четверг стал новым «днем охоты» для киберпреступников. Именно в этот день недели зафиксировано наибольшее количество фишинговых писем - 22,5% от общего числа за неделю. Меньше всего таких писем приходилось на воскресенье.

Интересно отметить, что преступники все реже используют бесплатные публичные почтовые домены для своих рассылок. Более 96,5% писем с вредоносным содержимым теперь отправляются с отдельных доменов. Такой подход значительно повышает шансы вызвать доверие у потенциальной жертвы.

Злоумышленники активно адаптируют свои методы под российскую аудиторию. Если в 2023 году лишь 6% фишинговых писем были связаны с Россией и странами СНГ, то в 2024 году эта цифра выросла более чем вдвое - до 13%. Преступники все чаще используют русский язык и другие языки стран СНГ, а также адаптируют свои «легенды» под местные реалии.

Интересная тенденция наблюдается в использовании почтовых сервисов. Доля Gmail в фишинговых рассылках сократилась с 80,4% до 49,5%, в то время как российские сервисы показали стремительный рост - с 13,1% до 35,3%.

Киберпреступники в массовых фишинговых рассылках использовали вложения для доставки вредоносного ПО на конечные устройства, их доля составила более 97%. Доля писем с вредоносными ссылками увеличилась с 1,6% до 2,7%. Часто, используя ссылку на загрузку ВПО, злоумышленники стараются таким образом определить, кто переходит по ссылке чтобы предотвратить обнаружение средствами защиты. Для этого атакующие могут использовать множество техник, например, дополнительное звено в виде веб-страницы с тестом CAPTCHA — только после его прохождения жертве будет отгружен вредоносный файл.

Архивы различных форматов (.rar, .zip, .7z) по-прежнему лидируют среди вредоносных вложений, составляя 81,4% от общего числа. Внутри архивов в подавляющем большинстве случаев находятся исполняемые файлы в PE-формате (Portable Executable). Доля файлов, связанных с офисными сервисами, остался почти неизменным — 6,5%.

Шпионское ПО остается главным оружием киберпреступников. Agent Tesla лидирует, встречаясь в 56,1% вредоносных рассылок. За ним следуют загрузчик CloudEyE (11%) и стилер FormBookFormgrabber (10,5%). Эти программы способны собирать конфиденциальные данные, пароли и другую критически важную информацию.

Особую обеспокоенность вызывает появление в фишинговых рассылках программы-шифровальщика LockBit. Обычно такие программы применяются на финальных этапах атаки, когда системы жертвы уже скомпрометированы. Использование шифровальщиков на начальном этапе говорит о новой, более агрессивной стратегии злоумышленников, нацеленной на максимально быстрое нанесение ущерба.

Эксперты подчеркивают, что фишинговые письма остаются главным вектором компрометации корпоративных систем. Многие громкие инциденты с утечками данных или сбоями в работе сервисов были спровоцированы именно вредоносными программами, проникшими через электронную почту.