Эксперты F.A.C.C.T. обнаружили необычный способ рассылки майнера

19.09.2024
Специалисты Центра кибербезопасности компании F.A.C.C.T. зафиксировали новый способ доставки майнера Xmrig —  вредоносного ПО, предназначенного для скрытой добычи криптовалюты Monero  —  при помощи настроенных автоматических autoreply-ответов со скомпрометированных почтовых адресов.

Начиная с конца мая схема использовалась для атак на ведущие российские интернет-компании, ритейл и маркетплейсы, страховые и финансовые компании.

С конца мая 2024 года система F.A.C.C.T. Business Email Protection заблокировала более 150 вредоносных рассылок, которые отправлялись с почтового сервиса с использованием автоответчика (autoreply) – стандартной функции почтовиков, позволяющей отправлять подготовленное сообщение на все входящие письма.

В качестве маскировки атакующие в рассылках использовали вложенный скан счета на оплату оборудования, однако в самих письмах находилась ссылка на вредоносный архив на облачном сервисе. Отсюда и загружался майнер Xmrig, который поддерживает популярные алгоритмы майнинга и, в основном, используется для добычи монеты Monero.

Поскольку включить функцию автоответчика можно только, обладая доступом к почте, аналитики предположили, что столкнулись с массовой компрометацией почтовых адресов. В ходе их изучения было выяснено, что все они фигурировали в утечках баз данных, которые содержат в себе учетные данные как в открытом виде, так и в виде хэшей, которые легко подбираются методом радужных таблиц, содержащих заранее просчитанные пароли, так как имеют минимальную длину и личные данные пользователей (имена, фамилии, дары рождения и т.д.).

Напомним, что, по данным F.A.C.C.T., в первом полугодии 2024 г. в публичном доступе оказались 150 баз данных российских компаний. Общее количество строк данных пользователей, попавших в утечки в 2024 году, составило 200,5 млн.

Среди пользователей, чьи почтовые ящики были скомпрометированы, были замечены, в основном, физические лица, однако также есть почты арбитражных управляющих, небольших торговых компаний, строительных компаний, мебельной фабрики и фермерского хозяйства.

«Данный способ доставки ВПО опасен тем, что потенциальная жертва первая инициирует коммуникацию — вступает в переписку и ждет ответное письмо, — замечает Дмитрий Ерёменко, старший аналитик Центра кибербезопасности F.A.C.C.T. — В этом состоит главное отличие от традиционных массовых рассылок, где получатель часто получает нерелевантное для него письмо и игнорирует его. В данном случае, хотя письмо не выглядит убедительным, коммуникация уже установлена и сам факт распространения файла может не вызывать особого подозрения, а лишь пробудить интерес у жертвы».

Специалисты ЦК рекомендуют пользователям соблюдать правила цифровой гигиены, использовать сложные и уникальные пароли, которые не содержат личной информации и не подверженных атаке по словарю или прямому перебору. Использовать менеджеры паролей (aka KeePass). Установить для аккаунтов, где возможно, второй фактор.

Также во избежание утечек пароля не стоит сохранять пароли в браузерах, устанавливать нелицензионное ПО, потому что оно может содержать стилеры, не переходить по сомнительным ссылкам на почте и не вводить свои данные на сомнительных сайтах (фишинг). Нужно избегать переходов по ссылкам и аутентификаций в мессенджерах, особенно когда просят проголосовать за кого-то или внезапно «выигрывается» денежнаяя сумма и прочие схемы развода и фишинга.

Читайте также
IT-World разбирался, почему монолитные корпоративные системы — это бомба замедленного действия и как избежать ошибок при проектировании.

Похожие статьи