Фишинговая кампания FormBook против строительного сектора — отчет CERT-AGID
Источник: cert-agid.gov.it
Недавние наблюдения CERT-AGID выявили целенаправленную кампанию, в которой злоумышленники распространяют вредоносное ПО FormBook через поддельные электронные письма. Атака рассчитана на частных лиц и сотрудников компаний строительного сектора и опирается на социальную инженерию: письма имитируют законную корпоративную переписку, чтобы убедить получателя открыть вложение и запустить вредоносный код.
Суть атаки
«Злоумышленники создали электронные письма, имитирующие подлинные корпоративные сообщения, такие как приглашения к участию в проектах или предложения о коммерческом сотрудничестве» — отмечают эксперты CERT-AGID.
Кампания использует шаблоны, знакомые сотрудникам строительной отрасли: коммерческие предложения, проекты, приглашения к сотрудничеству. Технически атака может не быть особо сложной, однако степень соответствия содержимого ожиданиям получателя значительно повышает шанс успеха: вложения открываются, и FormBook получает доступ к системе.
Почему выбран строительный сектор
- Строительные компании располагают ценными корпоративными данными: контракты, сметы, техническая документация и финансовая информация.
- Корпоративные коммуникации в отрасли часто включают многочисленные внешние взаимодействия с подрядчиками и субподрядчиками, что облегчает маскировку вредоносных сообщений.
- Низкая информированность отдельных сотрудников о современных методах социальной инженерии повышает уязвимость.
Опасности, связанные с FormBook
FormBook известен способностью собирать конфиденциальную информацию из заражённых систем: учетные данные, формы, файлы и другую ценную информацию. После успешной компрометации злоумышленники могут использовать похищенные данные для дальнейших атак, шантажа или продажи на черном рынке.
Признаки мошеннического письма
- Неожиданное вложение, особенно если отправитель не уточнял ранее цель пересылки.
- Ошибки в оформлении письма или несоответствие корпоративному стилю, несмотря на попытки имитации.
- Срочность или давление с требованием немедленных действий (открыть файл, перейти по ссылке).
- Адрес отправителя отличается от ожидаемого — даже незначительные изменения в домене.
Рекомендации по защите
Чтобы снизить риск заражения и утечки данных, экспертная практика включает как технические, так и организационные меры:
- Повышение осведомлённости: регулярные тренинги для сотрудников по распознаванию фишинговых писем и методам социальной инженерии.
- Проверка отправителей: сверять домены и адреса, подтверждать непредвиденные вложения по альтернативным каналам (телефон, корпоративный мессенджер).
- Технические средства: включение SPF, DKIM, DMARC; использование антифишинговых шлюзов; sandbox-анализ вложений и URL; EDR и антивирусные решения с поведенческим анализом.
- Ограничения прав: запуск пользовательских сессий с минимальными правами, запрет на исполнение макросов и подозрительных исполняемых файлов без предварительной проверки.
- Резервное копирование: регулярные бэкапы и проверка процедур восстановления.
- Процедуры реагирования: план действий при подозрении на компрометацию, включая изоляцию устройств и незамедлительное информирование security-команды.
Заключение
Описанная кампания показывает, что злоумышленники всё чаще делают ставку не на сложность эксплойтов, а на качество социальной инженерии и релевантность контента для целевой аудитории. Для строительного сектора это означает повышенную ответственность за контроль каналов коммуникации и обучение сотрудников. Комплексный подход — сочетание технических средств защиты и регулярного обучения персонала — остаётся ключевым фактором снижения рисков, связанных с распространением FormBook и аналогичных угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
