Специалисты Центра кибербезопасности компании F.A.C.C.T. проанализировали фишинговые рассылки, которые перехватило и нейтрализовало решение XDR в третьем квартале 2024 года, и выявили новые тенденции.
На первое место среди вредоносных начинок фишинговых писем вырвался стилер Formbook — его доля в рассылках увеличилась в четыре раза. AgentTesla, ранее занимавший лидирующие позиции, откатился сразу на третье место, а вторую строчку заняло малоизвестное ВПО DarkGate.
Киберпреступники практически отказались от использования ссылок для доставки вредоносного ПО — доля фишинговых писем с вложениями увеличилась с 97,3% во втором квартале до 99,1% в третьем. По мнению аналитиков F.A.C.C.T., тренд связан с тем, что такая техника доставки вредоносов не оправдывает затрат в массовых рассылках. Задача замотивировать потенциальную жертву кликнуть на ссылку также может вызывать проблемы. Вложение к письму как привычный элемент почтовой коммуникации реже вызывает подозрения, чем и пытаются воспользоваться злоумышленники.
В 82% вредоносных писем получатели увидят во вложении архив; в шести из десяти случаев это будет ZIP и RAR (также используются 7z, Z, GZ и другие форматы). Также в качестве доставщика ВПО продолжают использоваться офисные документы с расширениями PDF и DOCX, доля которых в рассылках незначительно подросла по сравнению с предыдущим кварталом — до 8,8% (+2,4%). Исследователи отмечают, что преступники меняют тактику и отказываются от использования электронных таблиц Excel (с расширением XLS) в пользу PDF и DOCX для упаковки вредоносов.
Эксперименты продолжаются не только с подачей фишинговых рассылок, но и с их начинкой. На протяжении последних лет, включая первое полугодие 2024-го, лидером среди вредоносных программ было AgentTesla. Это модульное программное обеспечение для шпионажа встречалось как минимум в каждом втором вредоносном письме. В третьем квартале доля AgentTesla среди ВПО в фишинговых рассылках уменьшилась в четыре раза — с 56,1% до 13,4%. В лидеры вышли Formbook Formgrabber, инструмент для кражи учётных записей и персональных данных, а также загрузчик DarkGate — модульное ВПО с широким функционалом: стилер, средство удалённого управления и даже майнер (в зависимости от аппетитов атакующих).
Доля Formbook, который и ранее входил в топ-3 угроз, выросла почти четырёхкратно — до 40%. Загрузчик DarkGate был зафиксирован киберразведкой компании F.A.C.C.T. в 2023 году, и по итогам третьего квартала текущего года его доля составила 15%.
Резкое падение доли AgentTesla в рассылках специалисты связывают с ликвидацией инфраструктуры этого ВПО прошедшим летом. Проверенный временем стилер Formbook многие выбрали как замену AgentTesla — с этим и связан рост популярности инструмента.
Анализируя функционал ВПО, эксперты F.A.C.C.T. отмечают: самым популярным типом остаётся шпионский софт, семейства которого распространяются по модели MaaS (Malware-as-a-service). При этом отмечено незначительное снижение доли вредоносных рассылок со шпионами и двукратный рост доли загрузчиков, которые могут установить на устройство пользователя любое другое вредоносное ПО. Бэкдоры в качестве первичной вредоносной нагрузки стали встречаться реже — их доля составила 8%.
Чаще всего рассылки третьего квартала проводились в среду (22%), в то время как во втором квартале лидировал четверг. Стабильно много фишинговых писем — более 20% — отправляют по понедельникам и вторникам, меньше всего — в воскресенье (1%).
Помимо этого, в F.A.C.C.T. отмечают снижение доли почтовых рассылок с использованием бесплатных почтовых сервисов, которое продолжается с начала года. Более 97% писем с малварями рассылаются с отдельных доменов, для чего используются как специально созданные домены, так и скомпрометированные почтовые ящики и домены. Чаще всего в этом разрезе фигурируют доменные имена в зоне .com (64%), .ru (5,4%), .net (3%), а также .jp и .org. Нередко хакеры используют спуфинг — подмену адреса отправителя в электронном письме.