Вредоносные вложения скрывают гораздо больше, чем кажется на первый взгляд.
Исследователи из компании Trend Micro обнаружили новую волну фишинговых атак, нацеленных на пользователей в Бразилии. Злоумышленники используют троян Astaroth, известный как инфостилер банковских данных, в рамках фишинговой кампании под названием Water Makara.
Преступники рассылают электронные письма со вложенными файлами, которые маскируются под документы о налогах. Эти письма содержат ZIP-архивы, активирующие вредоносные скрипты JavaScript, когда пользователи запускают их через утилиту «mshta.exe».
Основные цели атаки — компании различных секторов в Бразилии, включая промышленность, розничную торговлю и государственные учреждения. Вредоносная программа распространяется через социальную инженерию, заставляя жертв загружать архивы с вредоносными файлами, замаскированными под налоговые документы.
Один из ключевых элементов атаки — использование обфусцированного JavaScript для скрытого выполнения команд. Этот метод помогает преступникам избегать обнаружения и устанавливать соединение с управляющим сервером для дальнейших действий.
ZIP-архивы содержат LNK-файлы со встроенными вредоносными командами. Эти файлы при запуске активируют JavaScript, который загружает вредоносные объекты с серверов злоумышленников. Исследователи заметили, что в данной кампании используются различные форматы файлов — от PDF и JPEG до MP4 и GIF, что помогает хакерам обойти защитные механизмы.
Основная цель атаки — сбор конфиденциальных данных пользователей, в том числе учётных данных для доступа к банковским системам. Хотя Astaroth давно известен в мире киберугроз, его продолжающаяся эволюция делает данный троян особенно опасным.
Для борьбы с угрозой специалисты Trend Micro рекомендуют использовать современные методы защиты, включая регулярное обновление программного обеспечения, многофакторную аутентификацию и обучение сотрудников вопросам кибербезопасности.
Но доступ к знаниям открыт для всех