Приложение-приманку под видом психологического теста используют для кибератак на госсектор и энергетику РФ и других стран

Изображение: recraft
Эксперты «Лаборатории Касперского» обнаружили вредоносную кампанию, которая связана с ранее неизвестной группой Armored Likho. Злоумышленники используют новый стилер BusySnake, способный похищать с заражённых устройств конфиденциальные данные и делать скриншоты, а также перехватывать пароли из браузеров. В основном он распространяется через фишинговые письма с разнообразными легендами: от психологических тестов до гуманитарной помощи. Кампания в первую очередь направлена на государственный и электроэнергетический секторы, и она всё еще активна. На данный момент атаки были выявлены в России, Казахстане и Бразилии. Об этом «Лаборатория Касперского» сообщила в преддверии международной выставки «ИННОПРОМ-2026».
Как заражают. Один из ключевых векторов атак — фишинг. Злоумышленники точечно рассылают электронные письма с вредоносными архивами, тематика которых значительно варьируется. Например, в качестве приманки получателям предлагалось пройти психологический тест или оформить заявку на гуманитарную помощь. Названия архивов повторяют тематику писем, чтобы ввести потенциальных жертв в заблуждение и заставить их запустить вредоносное содержимое. Для отвлечения внимания на устройстве запускается приложение с психологическим опросом или документ-приманка, в зависимости от легенды. В результате многоэтапной цепочки загрузки на устройство попадает стилер, получивший название BusySnake.
Новый стилер BusySnake. Стилер написан на Python и предназначен для атак на Windows-системы. В ходе анализа эксперты обнаружили несколько версий этого зловреда, а также дополнительный модуль для кражи cookie-файлов. BusySnake обладает широкой функциональностью, в частности, он способен красть данные из буфера обмена, передавать конфиденциальные файлы с заражённого устройства на командный сервер злоумышленников, перехватывать пароли из Firefox и браузеров на базе Chromium. Кроме того, в исходном коде стилера предусмотрено несколько способов защиты от обнаружения и затруднения статического анализа. Для доставки BusySnake на устройство используются загрузчики, которые, судя по анализу кода, были сгенерированы при помощи ИИ.
Кто стоит за атаками. Со средней степенью уверенности можно говорить, что кампания связана с ранее не описанной группой Armored Likho. Злоумышленники совмещают кибершпионаж в отношении организаций и финансово мотивированные атаки на частных пользователей.
«Анализ кампаний Armored Likho за последние несколько месяцев выявил тенденцию — злоумышленники используют ИИ-инструменты для создания полезных нагрузок первого этапа, на что указывают избыточные комментарии и блоки кода. Такой подход значительно расширяет число векторов атаки. Параллельно с этим группировка продолжает развивать и модифицировать свой инструментарий. Если ранее Go2Tunnel использовался как отдельный инструмент, то в текущей кампании эта функциональность интегрирована непосредственно в стилер в виде встроенной функции, получающей параметры от командного сервера злоумышленников. Стоит также отметить, что архитектура обнаруженного стилера имеет определённые сходства с другим инструментом группировки — AquilaRAT. Несмотря на развитие вредоносного инструментария и попытки скрыть используемые TTP, мы продолжаем внимательно следить за деятельностью Armored Likho и выявлять новые кампании злоумышленников», — отмечают исследователи.
Защитные решения «Лаборатории Касперского», такие как Kaspersky Endpoint Detection and Response Expert, успешно обнаруживают данную вредоносную активность.
Подробный отчёт о группировке Armored Likho опубликован на Securelist.ru.
Для защиты от подобных угроз эксперты «Лаборатории Касперского» рекомендуют организациям:
- проводить обучающие тренинги для сотрудников по кибербезопасности. Для этого можно воспользоваться онлайн-платформами, такими как Kaspersky Automated Security Awareness Platform;
- использовать надёжные программы для защиты корпоративных устройств, эффективность которой подтверждается независимыми тестами, к примеру Kaspersky Security для бизнеса;
- более крупному бизнесу — применять комплексные решения, позволяющие выстроить гибкую и эффективную систему безопасности, такие как Kaspersky Symphony XDR;
- предоставлять ИБ-специалистам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence;
- разработать план по реагированию на инциденты. Он должен включать в себя сценарии работы сотрудников при наступлении того или иного ИБ-события, список необходимых ресурсов, перечень применяемых инструментов, права и обязанности команды реагирования.



