Масштабная кибератака: новый SnakeLogger угрожает российским организациям

Источник: bi.zone
Специалисты компании BI.ZONE обнаружили новую масштабную киберкампанию, которая нацелена на российские организации в различных отраслях. В центре внимания злоумышленников находится новая версия программы SnakeLogger stealer, известная как NOVA, которую можно арендовать всего за 50 долларов.
Методы атаки
Злоумышленники используют фишинговые электронные письма с вредоносными вложениями, замаскированными под файлы контрактов. Для успешной доставки вредоносного ПО они применяют стратегии, которые включают:
- Использование популярных имен файлов;
- Ориентацию на сотрудников, работающих с большим количеством электронных писем;
- Скрытие вредоносного ПО под видом законных документов.
Эти тактики значительно повышают вероятность успешного выполнения атаки.
Технические детали вредоносного ПО
После запуска вредоносный файл извлекает скрытые данные с ресурса под именем zabawa2, дублирует себя в каталоге AppDataRoaming и использует PowerShell для обхода защиты Microsoft Defender, добавляя себя в список исключений. Для сохранения на скомпрометированных системах злоумышленники используют планировщик задач Windows, что позволяет программе незаметно запускаться и вводить свою полезную нагрузку.
Географический след и функции NOVA
Обращает на себя внимание наличие в коде вредоносного файла строк на польском языке, что указывает на потенциальное географическое происхождение злоумышленников. NOVA stealer обеспечивает:
- Кражу учетных данных;
- Регистрацию нажатий клавиш;
- Захват экрана;
- Извлечение данных из буфера обмена.
Программа также пытается отключить защитные системы, как Microsoft Defender и диспетчер задач.
Поддержка нападения
Кроме того, злоумышленники создали группу в Telegram для продвижения и поддержки NOVA stealer и связанными инструментами шифрования, предлагая различные планы подписки, включая ежемесячные и пожизненные платежи.
Рекомендации по безопасности
BI.ZONE рекомендует применять меры безопасности для защиты от киберугроз, включая:
- Использование правил зоны безопасности EDR;
- Защиту аутентификационных материалов;
- Внедрение систем управления привилегированным доступом (PAM), таких как BI.ZONE PAM, которые поддерживают ротацию секретов и одноразовые пароли.
Выбор системы PAM, основанной на принципах единого входа, значительно повышает уровень безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



