Русский язык, местные реалии: фишинг становится персонализированным

Русский язык, местные реалии: фишинг становится персонализированным

Компания F.A.C.C.T. проанализировала вредоносные рассылки во втором квартале 2024 г.

image

Компания F.A.С.С.T. провела исследование вредоносных почтовых рассылок за второй квартал 2024 года. Анализ показал ряд значимых изменений и тенденций, на которые стоит обратить внимание компаниям и пользователям для защиты от киберугроз.

Четверг стал новым «днем охоты» для киберпреступников. Именно в этот день недели зафиксировано наибольшее количество фишинговых писем - 22,5% от общего числа за неделю. Меньше всего таких писем приходилось на воскресенье.

Интересно отметить, что преступники все реже используют бесплатные публичные почтовые домены для своих рассылок. Более 96,5% писем с вредоносным содержимым теперь отправляются с отдельных доменов. Такой подход значительно повышает шансы вызвать доверие у потенциальной жертвы.

Злоумышленники активно адаптируют свои методы под российскую аудиторию. Если в 2023 году лишь 6% фишинговых писем были связаны с Россией и странами СНГ, то в 2024 году эта цифра выросла более чем вдвое - до 13%. Преступники все чаще используют русский язык и другие языки стран СНГ, а также адаптируют свои «легенды» под местные реалии.

Интересная тенденция наблюдается в использовании почтовых сервисов. Доля Gmail в фишинговых рассылках сократилась с 80,4% до 49,5%, в то время как российские сервисы показали стремительный рост - с 13,1% до 35,3%.

Киберпреступники в массовых фишинговых рассылках использовали вложения для доставки вредоносного ПО на конечные устройства, их доля составила более 97%. Доля писем с вредоносными ссылками увеличилась с 1,6% до 2,7%. Часто, используя ссылку на загрузку ВПО, злоумышленники стараются таким образом определить, кто переходит по ссылке чтобы предотвратить обнаружение средствами защиты. Для этого атакующие могут использовать множество техник, например, дополнительное звено в виде веб-страницы с тестом CAPTCHA — только после его прохождения жертве будет отгружен вредоносный файл.

Архивы различных форматов (.rar, .zip, .7z) по-прежнему лидируют среди вредоносных вложений, составляя 81,4% от общего числа. Внутри архивов в подавляющем большинстве случаев находятся исполняемые файлы в PE-формате (Portable Executable). Доля файлов, связанных с офисными сервисами, остался почти неизменным — 6,5%.

Шпионское ПО остается главным оружием киберпреступников. Agent Tesla лидирует, встречаясь в 56,1% вредоносных рассылок. За ним следуют загрузчик CloudEyE (11%) и стилер FormBookFormgrabber (10,5%). Эти программы способны собирать конфиденциальные данные, пароли и другую критически важную информацию.

Особую обеспокоенность вызывает появление в фишинговых рассылках программы-шифровальщика LockBit. Обычно такие программы применяются на финальных этапах атаки, когда системы жертвы уже скомпрометированы. Использование шифровальщиков на начальном этапе говорит о новой, более агрессивной стратегии злоумышленников, нацеленной на максимально быстрое нанесение ущерба.

Эксперты подчеркивают, что фишинговые письма остаются главным вектором компрометации корпоративных систем. Многие громкие инциденты с утечками данных или сбоями в работе сервисов были спровоцированы именно вредоносными программами, проникшими через электронную почту.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь