Horns&Hooves: цифровой Остап Бендер обчищает компании по всей стране

Эксперты компании «Лаборатория Касперского» зафиксировали новую волну массовых рассылок электронных писем с вредоносными вложениями, замаскированными под деловую корреспонденцию от потенциальных клиентов или партнёров. В ходе этой кибератаки злоумышленники распространяют троянские программы, предназначенные для удалённого контроля над компьютерами жертв. Кампания началась весной 2023 года, в число мишеней входят как частные пользователи из России, так и компании, в основном из сфер торговли и предоставления услуг.

Механизм заражения

Рассылаемые письма содержат ZIP-архивы, внутри которых скрыты вредоносные скрипты (в основном это JScript-файлы). Киберпреступники тщательно маскируют их под различные типовые обращения: заявки на покупку товаров, запросы цен, акты сверки, заявления на возврат, а также досудебные или стандартные претензии. Для повышения доверия жертвы, в архив могут добавляться реальные документы, соответствующие указанной организации или лицу, от имени которых выступают мошенники. Например, к письмам с запросом цен могут прилагаться выписки из ЕГРЮЛ, свидетельства о постановке на налоговый учёт или карточки компаний.

При запуске вредоносного скрипта пользователю демонстрируется так называемый документ-приманка — таблица или другой документ, например, список товаров для предполагаемой закупки.

Используемое вредоносное ПО

В результате успешной атаки на устройство загружается один из двух известных троянцев: NetSupport RAT или BurnsRAT. Оба являются модифицированными версиями легитимных программ для удалённого администрирования — NetSupport Manager и Remote Manipulator System.

Цели злоумышленников

Установка троянца — лишь первый этап атаки. В некоторых случаях, как отмечают специалисты «Лаборатории Касперского», на заражённых устройствах могут дополнительно устанавливаться стилеры — вредоносные программы, предназначенные для кражи конфиденциальной информации (паролей, данных учетных записей и т.д.). Кроме того, эксперты предполагают, что за этой кампанией может стоять известная хакерская группа TA569 (также известная как Mustard Tempest или Gold Prelude), которая продаёт доступ к заражённым системам на специализированных теневых форумах. Для компаний это грозит серьёзными последствиями — от кражи данных до шифрования информации и повреждения систем. Также атакующие могут собирать документы и электронные адреса для продолжения собственных атак.

Идентификация атаки

Специалисты «Лаборатории Касперского» присвоили этой кампании название Horns&Hooves («Рога и копыта»), в честь вымышленного предприятия из романа Ильфа и Петрова «Золотой телёнок». В книге организация была создана Остапом Бендером для того, чтобы слиться с массой ничего не подозревающих служащих. В текущей ситуации злоумышленники используют аналогичную тактику, пытаясь выдать себя за реальных контрагентов и замаскировать вредоносные вложения под легитимные запросы.

Меры предосторожности и рекомендации

В «Лаборатории Касперского» отмечают, что компании регулярно получают запросы, связанные с оформлением заказов или претензиями, поэтому далеко не всегда сотрудники могут заподозрить обман, особенно когда злоумышленники меняют тактики и экспериментируют с новыми инструментами. Это особенно актуально для малого и среднего бизнеса, где зачастую нет ресурсов для надёжной защиты. В таких условиях основную роль в предотвращении угроз играет обучение сотрудников информационной безопасности.

По мнению экспертов, человеческий фактор нередко становится ключевым в успехе или провале подобных атак. Знание признаков фишинга и осторожное обращение с подозрительными вложениями — важные меры, которые помогают существенно снизить риск заражения.