Эксперты «Лаборатории Касперского» уведомляют о недавней волне атак на корпоративных пользователей, в том числе в российских организациях.
Особенность этой массовой рассылки заключается в том, что сообщения приходят якобы от людей, с которыми получатели уже вели деловую переписку. Тема письма указывает, что внутри может находится в том числе запись аудиоконференции, информация о встрече или детали по реальному проекту. Во всех этих письмах содержится ссылка, за которой скрывается вредоносное ПО. Если получатель переходит по ней, на устройство загружается троян-загрузчик PikaBot.
PikaBot — новое семейство зловредов. На сегодняшний день оно применяется для скрытой установки других вредоносных семейств, а также для исполнения произвольного кода командной строки с удалённого сервера. Оно способно извлекать пароли и куки из браузеров, воровать письма, перехватывать трафик, давать операторам удалённый доступ к заражённой системе.
«Семейство PikaBot умеет проверять языковые настройки целевой системы. Злоумышленников интересуют русский, белорусский, таджикский, словенский, грузинский, казахский, узбекский. Если зловред „видит” эти языки, то атака прекращается», — Артём Ушков, исследователь угроз «Лаборатории Касперского».
Чтобы не стать жертвой атак с использованием реальной корпоративной переписки, «Лаборатория Касперского» рекомендует пользователям внимательно проверять адрес, с которого пришло письмо, и не пересылать сообщения третьим лицам, не перепроверив содержащуюся в них информацию, а также повышать уровень цифровой грамотности.