Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, назвала основные тренды вредоносных почтовых рассылок в 2023 году. Вторник стал самым популярным у злоумышленников днем недели для отправки фишинговых писем. Почти 98% обнаруженных в рассылках вредоносных программ были спрятаны во вложениях, а самой распространенной «упаковкой» для них остаются .rar и .zip архивы. Эксперты отмечают высокое качество писем-приманок, которое раньше могли себе позволить лишь профессиональные преступные APT-группы (Advanced Persistent Threat).
Как выглядят вредоносные письма
По данным аналитиков Центра кибербезопасности компании F.A.С.С.T., больше всего фишинговых писем злоумышленники отправляют в начале недели, пик рассылок приходится на вторник — 19,7% от всех писем за неделю. После среды происходит спад, а меньше всего вредоносных сообщений отправляется в воскресенье — 7,1%.
В 2023 году киберпреступники в массовых фишинговых рассылках, которые были перехвачены решением Managed XDR, использовали вложения как основной способ доставки ВПО на конечные устройства — их доля составила более 98%. Доля писем с вредоносными ссылками продолжает медленно сокращаться с составила в 2023 году чуть более 1,5%. Ссылка на загрузку ВПО с внешнего ресурса в письме является дополнительным шагом в цепочке первичного заражения, который заметен для традиционных средств защиты. Пользователей также реже настораживают вложения, приложенные к письму.
Распаковка фишинговой рассылки
Как правило, размер вложения в фишинговом письме варьируется от 32 Кб до 2 Мб. Самый распространенный диапазон — файл от 512 Кб до 1 Мб, их доля в фишинговых рассылках составляет более 36%.
Злоумышленники в основном «упаковывают» вредоносы в архивы форматов .rar (23,3%), .zip (21,1%), .z (7,7%). Внутри архивов в подавляющем большинстве случаев находятся исполняемые файлы в PE-формате (Portable Executable).
В прошлом году злоумышленники заметно реже встраивали ВПО в офисные документы — таблицы Excel и текстовые документы Word. По сравнению с 2022 годом доля рассылок файлов в формате .xls сократилась с 15,8% до 4,4%, а .doc — c 11,2% до 4,5%. Такой способ распространения вредоносов становится все менее эффективным среди злоумышленников из-за улучшения защиты в Microsoft Office и всё большей осведомленности пользователей о возможных угрозах.
«Тренд последнего года в фишинговых рассылках — это качественно составленные продуманные письма-приманки, которые еще пару лет назад могли себе позволить только отдельные профессиональные участники киберпреступного мира или продвинутые группировки, в том числе прогосударственные, в рамках проведения целевых атак. — рассказывает Ярослав Каргалев, руководитель Центра кибербезопасности компании F.A.С.С.T. — Сейчас всё чаще фишинговые письма качественно эксплуатируют новостную повестку и несут в себе многочисленные стилеры, иногда специально адаптированные под конкретные цели злоумышленников. Украденные с их помощью данные могут быть проданы или сразу использованы для развития атаки на организацию».
Что скрыто между строк
Самыми часто встречающимися вредоносными программами в письмах в 2023 году стали шпионская программа Agent Tesla (в 39,4% вредоносных рассылок) и стилеры FormBookFormgrabber (22,4%) и Loki PWS (7,4%).
Agent Tesla на протяжении нескольких лет занимает уверенную лидирующую позицию вредоносных семейств в фишинговых рассылках, атакуя пользователей по всему миру. Все остальные популярные вредоносные семейства, как и сам Agent Tesla, специализируются на хищении учетных записей и шпионаже.
Деятельность именно таких вредоносных программ привела к текущему количеству громких инцидентов с утечками данных. Скомпрометированная учетная запись используется злоумышленниками для первоначального доступа, проведения разведки и дальнейшего развития атаки в зависимости от мотива и целей атакующих.
Несмотря на то, что фишинговые письма являются наиболее распространенным способом компрометации учетных записей и инфраструктуры, компаниям необходимо заботиться о защите с позиций всех актуальных векторов атак. Для защиты от современных киберугроз организациям необходим комплексный подход к безопасности, который может обеспечить, к примеру, решение F.A.C.C.T. Managed XDR — система для продвинутого обнаружения, реагирования и защиты.
