Boss Scam: атаки через WhatsApp и вредоносные вложения
Эксперты предупреждают: злоумышленники всё чаще используют доверие внутри организаций для распространения вредоносного ПО, маскируя атаки под срочные сообщения от регуляторов и руководства.
Схема, получившая название Boss Scam, представляет собой гибрид социальной инженерии и технически продуманного malware. Атакующие выдают себя за сотрудников Резервного банка Индии, налоговых служб или других доверенных лиц, чтобы убедить жертву открыть вредоносное вложение.
Как начинается атака
Первоначальный контакт осуществляется по электронной почте или через WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta). Жертва получает сообщение со ссылкой или zip-архивом, который преподносится как срочное экстренное уведомление. Внутри архива находится исполняемый файл, запускающий сложный механизм заражения.
Ключевая особенность вредоносной программы — использование техники DLL sideloading. Malware загружает легитимное приложение, но при этом подменяет одну из его библиотек, что позволяет выполнить вредоносный код незаметно для систем защиты.
Технический арсенал malware
После запуска вредоносное ПО демонстрирует целый ряд продвинутых техник закрепления и сокрытия:
- Создаёт mutex для предотвращения повторного запуска нескольких копий;
- Прописывает себя в Registry Run, гарантируя автозапуск при каждом входе пользователя в систему;
- Копирует тело вредоноса в менее заметные каталоги — %AppData% или %ProgramData%, снижая вероятность обнаружения;
- Некоторые варианты способны делать непрерывные скриншоты экрана и отправлять их злоумышленнику.
Для сбора и сжатия украденных данных malware использует встроенный легитимный инструмент Windows — tar.exe. Это позволяет архивировать конфиденциальную информацию, не вызывая подозрений у средств мониторинга. Сформированный архив передаётся по TCP-соединению на сервер атакующих.
Главная цель: захват WhatsApp Web
Собранные данные дают злоумышленникам возможность перехватить сессию WhatsApp Web жертвы. Заполучив контроль над учётной записью, атакующий фактически осуществляет impersonation сотрудника — получает доступ ко всей истории переписки, контактам и групповым чатам.
«Используя исторические переписки и контакты, доступные в захваченной сессии WhatsApp, угрозы могут быстро распространяться по всей организации», — отмечается в отчёте. Доверие, которое коллеги оказывают знакомому контакту, значительно повышает вероятность того, что они откроют новое вредоносное вложение.
Атака на высший эшелон
Нацеливание на высокопоставленных руководителей — генеральных директоров и финансовых директоров — делает атаку особенно опасной. Получив доступ к аккаунту топ-менеджера, преступник может от его имени рассылать подчинённым срочные запросы: переводы крупных сумм, передачу конфиденциальных документов или паролей.
Эскалация происходит стремительно: заражение одного ключевого сотрудника открывает путь к компрометации целого отдела или всей организационной иерархии.
Человеческий фактор как главная уязвимость
Эта кампания наглядно демонстрирует растущий тренд в киберкриминале — эксплуатацию человеческого доверия вместо сложных технических эксплойтов. Даже самая совершенная техническая защита не спасёт, если руководитель, не заподозрив неладное, самостоятельно откроет «экстренное» сообщение от имени регулятора.
Инцидент подчеркивает необходимость комплексного подхода, включающего регулярное обучение персонала методам социальной инженерии и внедрение строгих процедур подтверждения финансовых запросов, поступающих через мессенджеры.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



