- Специальный корреспондент
Против российских организаций из разных отраслей развернута кампания по краже учетных данных пользователей, в том числе паролей, с помощью вредоносного программного обеспечения (ВПО) Umbral, которое доставляется через фишинговые письма. Об этом «Известиям» 30 мая сообщили эксперты киберразведки компании по управлению цифровыми рисками Bi.Zone.
Как сообщили в компании, к письмам были приложены ISO-файлы (дисковые образы), в которых, в свою очередь, содержались вредоносные ярлыки. Преступники замаскировали их под документы с названием «План Рейдеров». Открытие такого файла и запускало процесс компрометации устройства.
При этом, отмечается, что исходные коды ВПО размещены в открытом доступе на веб-сервисе для хранения IT-проектов GitHub и доступны всем желающим.
«Umbral Stealer позволяет злоумышленникам обходить средства защиты, повышать привилегии, собирать информацию о скомпрометированной системе и извлекать аутентификационные данные из таких приложений, как Brave, Chrome, Chromium, Comodo, Edge, Epic Privacy, Iridium, Opera, Opera GX, Slimjet, UR Browser, Vivaldi, «Яндекс Браузер», Roblox, Minecraft и Discord. Многие из этих приложений могут содержать не только пароли для личных учетных записей, но и для корпоративных», — предупредили в Bi.Zone.
Отмечается, что это может позволить атакующим получить первоначальный доступ к целевой сети. Например, используя деловую электронную почту для рассылки фишинговых писем внутри организации или получения паролей к иным сервисам путем анализа почтовой переписки. При этом Umbral не использует традиционные методы коммуникации с командным сервером — вместо этого данные выгружаются через инфраструктуру мессенджера Discord.
«Сегодня многие киберпреступники, в том числе те, что вовлечены в атаки с использованием программ-вымогателей, используют легитимные учетные данные для получения первоначального доступа к корпоративным сетям. Одним из главных источников таких данных являются стилеры. Данные, собранные стилерами, можно найти в продаже, а иногда и загрузить бесплатно на многих теневых форумах и маркетплейсах. Именно поэтому мы видим всё новые и новые семейства стилеров», — отметил руководитель управления киберразведки Bi.Zone Олег Скулкин.
Чтобы снизить риск подобных атак, необходимо наладить защиту электронной почты: именно этот вектор распространения чаще всего используют операторы ВПО наподобие Umbral Stealer. Важно, чтобы компания могла остановить кибератаку на любой ступени ее развития. Для этого мы рекомендуем доверить выявление, реагирование и предупреждение киберугроз экспертам по мониторингу событий кибербезопасности.
Как сообщили в компании, к письмам были приложены ISO-файлы (дисковые образы), в которых, в свою очередь, содержались вредоносные ярлыки. Преступники замаскировали их под документы с названием «План Рейдеров». Открытие такого файла и запускало процесс компрометации устройства.
При этом, отмечается, что исходные коды ВПО размещены в открытом доступе на веб-сервисе для хранения IT-проектов GitHub и доступны всем желающим.
«Umbral Stealer позволяет злоумышленникам обходить средства защиты, повышать привилегии, собирать информацию о скомпрометированной системе и извлекать аутентификационные данные из таких приложений, как Brave, Chrome, Chromium, Comodo, Edge, Epic Privacy, Iridium, Opera, Opera GX, Slimjet, UR Browser, Vivaldi, «Яндекс Браузер», Roblox, Minecraft и Discord. Многие из этих приложений могут содержать не только пароли для личных учетных записей, но и для корпоративных», — предупредили в Bi.Zone.
Отмечается, что это может позволить атакующим получить первоначальный доступ к целевой сети. Например, используя деловую электронную почту для рассылки фишинговых писем внутри организации или получения паролей к иным сервисам путем анализа почтовой переписки. При этом Umbral не использует традиционные методы коммуникации с командным сервером — вместо этого данные выгружаются через инфраструктуру мессенджера Discord.
«Сегодня многие киберпреступники, в том числе те, что вовлечены в атаки с использованием программ-вымогателей, используют легитимные учетные данные для получения первоначального доступа к корпоративным сетям. Одним из главных источников таких данных являются стилеры. Данные, собранные стилерами, можно найти в продаже, а иногда и загрузить бесплатно на многих теневых форумах и маркетплейсах. Именно поэтому мы видим всё новые и новые семейства стилеров», — отметил руководитель управления киберразведки Bi.Zone Олег Скулкин.
Чтобы снизить риск подобных атак, необходимо наладить защиту электронной почты: именно этот вектор распространения чаще всего используют операторы ВПО наподобие Umbral Stealer. Важно, чтобы компания могла остановить кибератаку на любой ступени ее развития. Для этого мы рекомендуем доверить выявление, реагирование и предупреждение киберугроз экспертам по мониторингу событий кибербезопасности.
