СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
06.02.2025
#Dev#ИБ

Угроза NOVA stealer: новая волна атак на российские организации

Угроза NOVA stealer: новая волна атак на российские организации

Источник: bi.zone

В последнее время наблюдается масштабная киберкампания, которая нацелена на российские компании с использованием нового поколения вредоносного ПО под названием NOVA Stealer. Это коммерческое ответвление SnakeLogger распространяется преимущественно через фишинговые электронные письма, замаскированные под контрактные архивы.

Механизм распространения и функции NOVA Stealer

NOVA Stealer является ярким примером использования модели malware-as-a-service (MaaS), что позволяет злоумышленникам более эффективно организовывать свои атаки. Вредоносное ПО доступно по подписке от 50 долларов и обладает следующими особенностями:

  • Скрытие в архивных вложениях под названием, напоминающим законные файлы, например, «Contract.exe».
  • Отсутствие обманчивых двойных расширений или поддельных значков для обмана жертв.
  • Использование стеганографии для расшифровки скрытых данных.
  • Репликация в каталоге AppDataRoaming и использование Windows PowerShell для добавления себя в исключения Microsoft Defender.
  • Запуск в приостановленном состоянии перед активацией основной полезной нагрузки.

Современные угрозы и функции

NOVA Stealer обладает широким набором функциональности, включая:

  • Кражу сохраненных учетных данных;
  • Перехват нажатий клавиш;
  • Создание скриншотов;
  • Извлечение данных из буфера обмена.

Однако некоторые функции реализованы не в полной мере, и существует специальный механизм, ограничивающий выполнение вредоносного ПО до определенной даты, что может свидетельствовать о планируемых активациях в будущем.

Географические подсказки и поддержка

Примечательно, что в коде вредоносной программы обнаружены строки на польском языке, что указывает на возможное географическое происхождение злоумышленников. В августе 2024 года была создана специальная группа в Telegram для продвижения NOVA Stealer, предлагающая разнообразные варианты подписки:

  • 30-дневная лицензия — 50 долларов;
  • Пожизненная лицензия — 630 долларов.

Рекомендации по защите

Для организаций, стремящихся защитить себя от атак, связанных с NOVA Stealer, команда BI.Команда ZONE Threat Intelligence разработала специальные правила в рамках своей платформы EDR (Endpoint Detection and Response), которые помогут выявлять такого рода угрозы.

Защита от киберугроз — это не только техника, но и осведомленность сотрудников. Осторожность при работе с электронной почтой и документами может спасти организацию от серьезных последствий.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: