F.A.С.С.T. назвала основные тренды вредоносных почтовых рассылок

13.02.2024
Вторник стал самым популярным у злоумышленников днем недели для отправки фишинговых писем в 2023 году. Почти 98% обнаруженных в рассылках вредоносных программ были спрятаны во вложениях, а самой распространенной «упаковкой» для них остаются .rar и .zip архивы.

Эксперты отмечают высокое качество писем-приманок, которое раньше могли себе позволить лишь профессиональные преступные APT-группы (Advanced Persistent Threat).

Как выглядят вредоносные письма

По данным аналитиков Центра кибербезопасности компании F.A.С.С.T., больше всего фишинговых писем злоумышленники отправляют в начале недели, пик рассылок приходится на вторник — 19,7% от всех писем за неделю. После среды происходит спад, а меньше всего вредоносных сообщений отправляется в воскресенье — 7,1%.

В 2023 году киберпреступники в массовых фишинговых рассылках, которые были перехвачены решением Managed XDR, использовали вложения как основной способ доставки ВПО на конечные устройства — их доля составила более 98%. Доля писем с вредоносными ссылками продолжает медленно сокращаться с составила в 2023 году чуть более 1,5%. Ссылка на загрузку ВПО с внешнего ресурса в письме является дополнительным шагом в цепочке первичного заражения, который заметен для традиционных средств защиты. Пользователей также реже настораживают вложения, приложенные к письму.

F.A.С.С.T. назвала основные тренды вредоносных почтовых рассылок. Рис. 1

Распаковка фишинговой рассылки

Как правило, размер вложения в фишинговом письме варьируется от 32 Кб до 2 Мб. Самый распространенный диапазон — файл от 512 Кб до 1 Мб, их доля в фишинговых рассылках составляет более 36%.

Злоумышленники в основном «упаковывают» вредоносы в архивы форматов .rar (23,3%), .zip (21,1%), .z (7,7%). Внутри архивов в подавляющем большинстве случаев находятся исполняемые файлы в PE-формате (Portable Executable).

В прошлом году злоумышленники заметно реже встраивали ВПО в офисные документы — таблицы Excel и текстовые документы Word. По сравнению с 2022 годом доля рассылок файлов в формате .xls сократилась с 15,8% до 4,4%, а .doc — c 11,2% до 4,5%. Такой способ распространения вредоносов становится все менее эффективным среди злоумышленников из-за улучшения защиты в Microsoft Office и всё большей осведомленности пользователей о возможных угрозах.

«Тренд последнего года в фишинговых рассылках — это качественно составленные продуманные письма-приманки, которые еще пару лет назад могли себе позволить только отдельные профессиональные участники киберпреступного мира или продвинутые группировки, в том числе прогосударственные, в рамках проведения целевых атак. — рассказывает Ярослав Каргалев, руководитель Центра кибербезопасности компании F.A.С.С.T. — Сейчас всё чаще фишинговые письма качественно эксплуатируют новостную повестку и несут в себе многочисленные стилеры, иногда специально адаптированные под конкретные цели злоумышленников. Украденные с их помощью данные могут быть проданы или сразу использованы для развития атаки на организацию».

Что скрыто между строк

Самыми часто встречающимися вредоносными программами в письмах в 2023 году стали шпионская программа Agent Tesla (в 39,4% вредоносных рассылок) и стилеры FormBookFormgrabber (22,4%) и Loki PWS (7,4%).

Agent Tesla на протяжении нескольких лет занимает уверенную лидирующую позицию вредоносных семейств в фишинговых рассылках, атакуя пользователей по всему миру. Все остальные популярные вредоносные семейства, как и сам Agent Tesla, специализируются на хищении учетных записей и шпионаже.

Деятельность именно таких вредоносных программ привела к текущему количеству громких инцидентов с утечками данных. Скомпрометированная учетная запись используется злоумышленниками для первоначального доступа, проведения разведки и дальнейшего развития атаки в зависимости от мотива и целей атакующих.

Несмотря на то, что фишинговые письма являются наиболее распространенным способом компрометации учетных записей и инфраструктуры, компаниям необходимо заботиться о защите с позиций всех актуальных векторов атак. Для защиты от современных киберугроз организациям необходим комплексный подход к безопасности.

Читайте также
Межсетевые экраны следующего поколения (NGFW) все шире используются российскими компаниями для защиты от атак и вторжений. О том, как развивается это направление ИБ-продуктов и какие тенденции сегодня заметны на этом рынке, нам рассказал менеджер по развитию компании UserGate Александр Луганский.

Похожие статьи