Компания F.A.C.C.T. проанализировала вредоносные рассылки во втором квартале 2024 г.
Компания F.A.С.С.T. провела исследование вредоносных почтовых рассылок за второй квартал 2024 года. Анализ показал ряд значимых изменений и тенденций, на которые стоит обратить внимание компаниям и пользователям для защиты от киберугроз.
Четверг стал новым «днем охоты» для киберпреступников. Именно в этот день недели зафиксировано наибольшее количество фишинговых писем - 22,5% от общего числа за неделю. Меньше всего таких писем приходилось на воскресенье.
Интересно отметить, что преступники все реже используют бесплатные публичные почтовые домены для своих рассылок. Более 96,5% писем с вредоносным содержимым теперь отправляются с отдельных доменов. Такой подход значительно повышает шансы вызвать доверие у потенциальной жертвы.
Злоумышленники активно адаптируют свои методы под российскую аудиторию. Если в 2023 году лишь 6% фишинговых писем были связаны с Россией и странами СНГ, то в 2024 году эта цифра выросла более чем вдвое - до 13%. Преступники все чаще используют русский язык и другие языки стран СНГ, а также адаптируют свои «легенды» под местные реалии.
Интересная тенденция наблюдается в использовании почтовых сервисов. Доля Gmail в фишинговых рассылках сократилась с 80,4% до 49,5%, в то время как российские сервисы показали стремительный рост - с 13,1% до 35,3%.
Киберпреступники в массовых фишинговых рассылках использовали вложения для доставки вредоносного ПО на конечные устройства, их доля составила более 97%. Доля писем с вредоносными ссылками увеличилась с 1,6% до 2,7%. Часто, используя ссылку на загрузку ВПО, злоумышленники стараются таким образом определить, кто переходит по ссылке чтобы предотвратить обнаружение средствами защиты. Для этого атакующие могут использовать множество техник, например, дополнительное звено в виде веб-страницы с тестом CAPTCHA — только после его прохождения жертве будет отгружен вредоносный файл.
Архивы различных форматов (.rar, .zip, .7z) по-прежнему лидируют среди вредоносных вложений, составляя 81,4% от общего числа. Внутри архивов в подавляющем большинстве случаев находятся исполняемые файлы в PE-формате (Portable Executable). Доля файлов, связанных с офисными сервисами, остался почти неизменным — 6,5%.
Шпионское ПО остается главным оружием киберпреступников. Agent Tesla лидирует, встречаясь в 56,1% вредоносных рассылок. За ним следуют загрузчик CloudEyE (11%) и стилер FormBookFormgrabber (10,5%). Эти программы способны собирать конфиденциальные данные, пароли и другую критически важную информацию.
Особую обеспокоенность вызывает появление в фишинговых рассылках программы-шифровальщика LockBit. Обычно такие программы применяются на финальных этапах атаки, когда системы жертвы уже скомпрометированы. Использование шифровальщиков на начальном этапе говорит о новой, более агрессивной стратегии злоумышленников, нацеленной на максимально быстрое нанесение ущерба.
Эксперты подчеркивают, что фишинговые письма остаются главным вектором компрометации корпоративных систем. Многие громкие инциденты с утечками данных или сбоями в работе сервисов были спровоцированы именно вредоносными программами, проникшими через электронную почту.
Одно найти легче, чем другое. Спойлер: это не темная материя