Фишинг, достойный адвоката: Scaly Wolf атакует российские компании юридически безупречными письмами

В компании BI.ZONE рассказали о деятельности новой киберпреступной группировки Scaly Wolf. По данным экспертов, группировка активна с начала лета 2023 года и инициировала не менее 10 кампаний. Преступники охотились за корпоративными данными, преимущественно выбирая в качестве целей промышленные и логистические компании из России. Последняя атака была инициирована в январе 2024 года.

Для распространения вредоносного ПО злоумышленники рассылают фишинговые письма, замаскированные под документы государственных органов. Среди них — запросы и требования Роскомнадзора, Следственного комитета РФ и Военной прокуратуры РФ, а также судебные постановления и другие предписания регуляторов.

Как отмечают эксперты, отличительная черта Scaly Wolf — высокий уровень юридической грамотности, с которой составлялись письма и поддельные документы. Во всех случаях текст письма выглядит крайне убедительно и вызывает доверие у пользователей. Это побуждает жертву следовать инструкции из письма и файл из приложенного архива, где якобы содержатся документы. На самом деле там находился стилер White Snake. Он позволяет получать несанкционированный доступ к корпоративной электронной почте, CRM-системам и другим ресурсам.

White Snake собирает аутентификационные данные, включая сохраненные в браузере логины и пароли, записывает нажатия клавиш, копирует файлы с зараженного компьютера и обеспечивает удаленный доступ к нему. Программа интегрирована с ботом в Telegram, где злоумышленники получают оповещения о новых зараженных устройствах.

Несмотря на то, что разработчики White Snake запретили её использование в России и СНГ, Scaly Wolf нашла лазейку - отключила функцию, которая останавливала работу программы при обнаружении российского или СНГ IP-адреса.

По данным BI.ZONE, White Snake привлекла преступников низкой ценой аренды (140 долларов за месяц аренды), простотой использования и широким функционалом, в том числе возможностью красть данные криптокошельков.

Наиболее вероятные мотивы Scaly Wolf - получение выкупа за украденные данные или их перепродажа на черном рынке. Судя по непрерывающейся активности, атаки группировки на российские компании будут продолжаться, скорее всего, по той же схеме с фишингом и использованием White Snake.