Фейковые письма – реальные вложения: Hive0145 выводит фишинг на новый уровень

Группа киберпреступников Hive0145 запустила серию атак по всей Европе, используя продвинутый вредоносный софт Strela Stealer для кражи конфиденциальных данных из электронной почты.

Как сообщили исследователи IBM X-Force, эта волна атак нацелена в первую очередь на Испанию, Германию и Украину. Злоумышленники рассылают фишинговые письма с поддельными, но настоящими счетами-фактурами, чтобы обмануть получателей и повысить успешность заражения.

Hive0145 действует с конца 2022 года, ориентируясь на кражу данных через Strela Stealer, который извлекает информацию из Microsoft Outlook и Mozilla Thunderbird. С середины 2023 года количество атак и их сложность значительно возросли.

Тем временем, с июля 2024 года Hive0145 изменила тактику: вместо простых фишинговых сообщений хакеры начали использовать реальные письма со взломанными вложениями. Такой метод повышает доверие к письму, так как оригинальный контент не меняется. Ранее подобные подходы применяли группировки вроде Emotet.

Чтобы обойти системы безопасности, киберпреступники начали использовать редкие типы файлов, такие как «.com» и «.pif», а также сложные скрипты для обхода защиты. Эксперты IBM X-Force отметили, что Hive0145 может частично автоматизировать свои процессы, что позволяет группе увеличивать частоту атак.

Основной целью Strela Stealer остаются данные электронной почты. Программа настроена на работу на устройствах с определёнными языковыми раскладками клавиатуры, что делает её эффективной при атаках на пользователей из Испании, Германии и Украины.

Аналитики предупреждают, что подобные атаки будут продолжаться. Компании в Европе, особенно в тех секторах, чьи письма часто используются в фишинговых схемах, должны усилить меры защиты и повышать осведомлённость сотрудников о подобных угрозах.