Новый вирус White Snake атакует компании под видом Роскомнадзора

В июле хакеры начали рассылать компаниям письма с вирусом, который способен красть пароли и другие данные, рассказали “Ъ” специалисты из BI.ZONE. Вирус называется White Snake и появился в этом году, уточнили в BI.ZONE. Он может получать пароли, которые сохранены на компьютере, копировать файлы, записывать нажатия клавиш, звук с микрофона и видео с веб-камеры и давать другие виды доступа к устройству.

Один из способов распространения White Snake — это электронные письма на коммерческие адреса, в том числе из утечек данных, которые выдают себя за уведомления Роскомнадзора.

В первом вложении письма — сообщение от ведомства, в котором говорится, что «при выборочном мониторинге активности» было обнаружено посещение сотрудниками запрещенных интернет-ресурсов и сайтов, которые публикуют материалы иноагентов. Роскомнадзор якобы просит проверить приложенные к письму материалы и дать разъяснение в течение двух рабочих дней, угрожая административными и уголовными мерами. Второй файл содержит ссылку на вирус.

В BI.ZONE отмечают, что необычно для такой атаки стало использование «коммерческого вируса», то есть продаваемого на темных форумах, а не созданного хакерами для своих целей. Подписку на него можно купить за $140 в месяц, а неограниченный доступ — за $1,9 тыс. Низкая цена и простота использования приводят к «неизбежному росту числа целевых атак», подчеркивает руководитель управления киберразведки BI.ZONE Олег Скулкин.

Эксперты из разных компаний подтверждают опасность таких атак: хакеры пытаются уговорить пользователя открыть архив под разными предлогами — от угроз многомиллионными штрафами до пометки «проверено антивирусом» в конце письма. Роскомнадзор в своем Telegram-канале заявлял, что ведомство «не делает массовую рассылку писем гражданам, организациям или органам власти». В службе отказались давать дополнительные комментарии.

White Snake может собирать данные на инфицированном компьютере через популярные браузеры, как Chrome и FireFox (пароли, загрузки), и известные программы, например, Outlook, Discord, Telegram и т. д., а также с криптокошельков. «В случае заражения одного сотрудника White Snake злоумышленники могут получить доступ к устройствам других через собранные учетные данные», — говорит один из экспертов.

Наибольшее влияние атаки оказывают на компании финансового сектора, включая владельцев цифровых кошельков, и научно-технические организации, чьи разработки и интеллектуальная собственность имеют особую ценность.

В зависимости от типа компании и целей преступников в каждом конкретном случае убытки могут составить от «нескольких миллионов до сотен миллионов рублей», говорит другой эксперт. «Часто такие вирусы крадут данные учетных записей, а поскольку в 70% компаний нет двухфакторной аутентификации, хакеры с большой вероятностью получат точку присутствия в компании», — говорит он. Дальше, предполагает эксперт, информация может быть продана в даркнете или использована для долгосрочного шпионажа.