Rhadamanthys возвращается: дорожно-транспортные происшествия стали новой приманкой для кражи данных

Обновлённая версия вредоносного программного обеспечения для кражи информации под названием Rhadamanthys используется в фишинговых кампаниях, нацеленных на сектор нефти и газа. Киберэксперт компании Cofense Дилан Дункан сообщает, что в фишинговых письмах хакеры применяют уникальную уловку, вызывающую крайнее любопытство жертв, в результате чего они с высокой вероятностью попадаются на мошенническую удочку.

Атака начинается с электронного письма случайному сотруднику нефте-газового предприятия, в котором утверждается, что его транспортное средство попало в ДТП. Исследователи зафиксировали следующие темы писем, которые чаще всего приходили потенциальным жертвам:

• «Срочно: просмотрите информацию о вашей автомобильной аварии»;
• «Требуется внимание: столкновение вашего автомобиля»;
• «Инцидент, связанный с вашим автомобилем: требуются немедленные действия»;
• «Уведомление: инцидент с участием вашего автомобиля»;
• «Ваш автомобильный инцидент: необходимы срочные юридические действия».

Вредоносная ссылка в письме имитирует изображение, размещённое в сервисе Google Images, и использует уязвимость открытого перенаправления, чтобы в итоге привести получателей к PDF-файлу, в котором указано, что транспортное средство жертвы якобы стало участником ДТП и скрылось с места происшествия, а потенциальный штраф за такое может составить $30 000.

Разумеется, если жертва срочно свяжется с местным Департаментом транспорта, штрафа можно будет избежать. По крайней мере, в такую историю злоумышленники хотят заставить поверить жертву.

В вышеупомянутом PDF-файле содержится размытое изображение автомобильной аварии, а также поддельное уведомление от сервиса Adobe Reader, которое гласит, что изображение невозможно просмотреть пока жертва не обновит программное обеспечение.

После нажатия на кнопку «Обновить» (а по факту на любое место в рамках вредоносной картинки), на компьютер жертвы загружается ZIP-архив с замаскированной полезной нагрузкой Rhadamanthys — вредоноса, написанного на C++, используемого для сбора конфиденциальных данных с заражённых хостов.

Ранее жертвами подобной атаки стали украинские бухгалтеры и госслужащие, которым также приходили десятки фишинговых писем, направленных на распространение программы-вымогателя Smokeloader. Вредоносное ПО маскировалось под кажущихся безвредными финансовые документы, большинство из которых были легитимны, так как были украдены у организаций, скомпрометированных злоумышленниками ранее.

Несмотря на постоянные предупреждения о фишинговых атаках, многие люди по-прежнему попадаются на уловки злоумышленников. Этот пример демонстрирует, что даже простые в реализации фишинговые схемы могут быть эффективными, если они апеллируют к человеческим слабостям — любопытству, страху и желанию избежать проблем.

Чтобы защититься, необходимо воспитывать бдительность, критическое мышление и навыки распознавания манипуляций. Только так можно обезопасить себя от целенаправленных атак, направленных на кражу ценной информации.