Хакеры отказываются от использования ссылок для доставки вредоносов

Специалисты Центра кибербезопасности компании F.A.C.C.T. проанализировали фишинговые рассылки, которые перехватило и нейтрализовало решение XDR в третьем квартале 2024 года, и выявили новые тенденции.

На первое место среди вредоносных начинок фишинговых писем вырвался стилер Formbook — его доля в рассылках увеличилась в четыре раза. AgentTesla, ранее занимавший лидирующие позиции, откатился сразу на третье место, а вторую строчку заняло малоизвестное ВПО DarkGate.

Киберпреступники практически отказались от использования ссылок для доставки вредоносного ПО — доля фишинговых писем с вложениями увеличилась с 97,3% во втором квартале до 99,1% в третьем. По мнению аналитиков F.A.C.C.T., тренд связан с тем, что такая техника доставки вредоносов не оправдывает затрат в массовых рассылках. Задача замотивировать потенциальную жертву кликнуть на ссылку также может вызывать проблемы. Вложение к письму как привычный элемент почтовой коммуникации реже вызывает подозрения, чем и пытаются воспользоваться злоумышленники.

В 82% вредоносных писем получатели увидят во вложении архив; в шести из десяти случаев это будет ZIP и RAR (также используются 7z, Z, GZ и другие форматы). Также в качестве доставщика ВПО продолжают использоваться офисные документы с расширениями PDF и DOCX, доля которых в рассылках незначительно подросла по сравнению с предыдущим кварталом — до 8,8% (+2,4%). Исследователи отмечают, что преступники меняют тактику и отказываются от использования электронных таблиц Excel (с расширением XLS) в пользу PDF и DOCX для упаковки вредоносов.

Эксперименты продолжаются не только с подачей фишинговых рассылок, но и с их начинкой. На протяжении последних лет, включая первое полугодие 2024-го, лидером среди вредоносных программ было AgentTesla. Это модульное программное обеспечение для шпионажа встречалось как минимум в каждом втором вредоносном письме. В третьем квартале доля AgentTesla среди ВПО в фишинговых рассылках уменьшилась в четыре раза — с 56,1% до 13,4%. В лидеры вышли Formbook Formgrabber, инструмент для кражи учётных записей и персональных данных, а также загрузчик DarkGate — модульное ВПО с широким функционалом: стилер, средство удалённого управления и даже майнер (в зависимости от аппетитов атакующих).

Доля Formbook, который и ранее входил в топ-3 угроз, выросла почти четырёхкратно — до 40%. Загрузчик DarkGate был зафиксирован киберразведкой компании F.A.C.C.T. в 2023 году, и по итогам третьего квартала текущего года его доля составила 15%.

Резкое падение доли AgentTesla в рассылках специалисты связывают с ликвидацией инфраструктуры этого ВПО прошедшим летом. Проверенный временем стилер Formbook многие выбрали как замену AgentTesla — с этим и связан рост популярности инструмента.

Анализируя функционал ВПО, эксперты F.A.C.C.T. отмечают: самым популярным типом остаётся шпионский софт, семейства которого распространяются по модели MaaS (Malware-as-a-service). При этом отмечено незначительное снижение доли вредоносных рассылок со шпионами и двукратный рост доли загрузчиков, которые могут установить на устройство пользователя любое другое вредоносное ПО. Бэкдоры в качестве первичной вредоносной нагрузки стали встречаться реже — их доля составила 8%.

Чаще всего рассылки третьего квартала проводились в среду (22%), в то время как во втором квартале лидировал четверг. Стабильно много фишинговых писем — более 20% — отправляют по понедельникам и вторникам, меньше всего — в воскресенье (1%).

Помимо этого, в F.A.C.C.T. отмечают снижение доли почтовых рассылок с использованием бесплатных почтовых сервисов, которое продолжается с начала года. Более 97% писем с малварями рассылаются с отдельных доменов, для чего используются как специально созданные домены, так и скомпрометированные почтовые ящики и домены. Чаще всего в этом разрезе фигурируют доменные имена в зоне .com (64%), .ru (5,4%), .net (3%), а также .jp и .org. Нередко хакеры используют спуфинг — подмену адреса отправителя в электронном письме.

7 ноября, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.12.2024
Аналитический Центр «БизнесДром» выступит партнёром XIX премии «Финансовая элита России»
03.12.2024
РСХБ рассказал, на что его клиенты тратят цифровые рубли
03.12.2024
«Яблочники» идут за вашими слепками
03.12.2024
«Также возможно введение квот на импортные печатные платы…»
03.12.2024
Хакеры готовы подарить свой авторский рецепт активации Windows
02.12.2024
Антимонопольщики не против. В России появится ещё один ИБ-вендор
02.12.2024
«Рынок не сделает ничего». Касперская — о госучастии в ИИ-направлении
02.12.2024
Телефонные мошенники напоминают: инвестируйте в себя
02.12.2024
Эксперты ЛК не рекомендуют сразу удалять выявленный сталкерский софт
02.12.2024
Первой голове «Гидры» дали пожизненное

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных