С каждым годом, число фишинговых атак растет как лесной пожар - в начале 2024 года специалисты F.A.C.C.T. Threat Intelligence выявили очередную серию фишинговых атак, связанных с одним и тем же злоумышленником. Имя ему придумали по одному из наиболее часто используемых им электронных адресов – narketing163@gmail[.]com, который встречался во множестве писем в качестве обратного электронного адреса. Атаки Narketing163 нацелены на компании в России и за её пределами, охватывая более 20 стран, включая США, Великобританию, Германию, Турцию и Испанию. Как же ему удалось провести атаки в таком внушающем списке стран?
Методы операции
Narketing163 активно распространяет вредоносные программы, такие как RedLine Stealer, Agent Tesla, FormBook и Snake Keylogger, нацеленные на кражу конфиденциальной информации, паролей, данных кредитных карт и другой ценной информации. Основной метод — фишинговые письма, которые маскируются под деловую переписку и содержат вредоносные вложения. Злоумышленник использует анонимные методы для рассылки, такие как VPN и прокси-сервисы, меняет IP-адреса и использует подменные электронные адреса, что усложняет его отслеживание.
пример фишингового письма
Как мы атрибутировали атаки
Соотнести обнаруженные атаки с одним злоумышленником удалось на основе следующих признаков:
- обратные электронные адреса, указанные в письмах;
- атакуемые компании;
- дата и время атак;
- язык и стилистика писем;
- похожие имена вредоносных архивов из вложений и исполняемых файлов внутри них;
- использование злоумышленником одних и тех же серверов для эксфильтрации.
Narketing163 рассылал письма от лица электронных адресов с доменами верхнего уровня tr, az, com, kz, pe, info, net с целью имитации активности от существующих компаний. У нас нет точной информации, были ли данные почтовые аккаунты скомпрометированы и с них осуществлялась рассылка, или была задействована подмена электронного адреса отправителя.
Атаки Narketing163, начиная с июля 2023 года, продолжаются и в 2024 году, угрожая компаниям из разных отраслей, включая e-commerce, ритейл, медицину и строительство. Массовая рассылка вредоносных писем преследует цель внедрить вирусы в системы компаний для сбора конфиденциальных данных и последующей эксфильтрации на серверы злоумышленников.
Узнайте подробнее об атаках Narketing163 и о рекомендациях по защите ->