Более 80% фишинговых рассылок содержат софт из даркнета

Более 80% фишинговых рассылок содержат софт, купленный злоумышленниками в даркнете, об этом говорится в исследовании BI.ZONE Threat Intelligence. Цены на самые популярные программы начинаются от 299 руб., а отдельные виды программ можно скачать бесплатно. Такое программное обеспечение позволяет украсть пароли и учетные данные. Стоимость лицензий на более дорогие программы, позволяющие получить доступ к Telegram пользователя и перехватывать нажатия клавиш, доходит до $15 000.

Коммерческий вредоносный софт значительно снижает порог входа в киберпреступность, говорится в исследовании: из-за доступности инструменты получили широкое распространение среди хактивистов и киберпреступников. «Распространение фишинговых писем с коммерческим вредоносным ПО – один из самых простых способов получения первоначального доступа к инфраструктуре. Теневой рынок таких продуктов будет расти и развиваться», – предупреждает руководитель BI.ZONE Threat Intelligence Олег Скулкин. По его словам, уже сейчас некоторые из предложений включают конструкторы для создания экземпляров вредоносного программного обеспечения, доступ к панели управления скомпрометированными устройствами, а еще обновления и поддержку в мессенджере.

В 2023 г. с помощью описанного софта злоумышленники атаковали более 100 000 организаций в мире, указано в отчете. Отдельной статистики по российским компаниям в BI.ZONE не привели.

Самые популярные варианты вредоносов – AgentTesla, FormBook, White Snake, RedLine, Snake Keylogger, DarkCrystal, DarkGate, говорится в исследовании. Софт AgentTesla встречается в 40% фишинговых рассылок и в даркнете он распространяется бесплатно, указано в отчете. Он используется для кражи учетных данных пользователя из почты, браузеров, мессенджеров и VPN. Группы, использующие, к примеру, вредоносные программы семейства AgentTesla, активно атакуют предприятия из сфер туризма, транспорта и авиации, говорит директор по стратегическим альянсам и взаимодействию с органами государственной власти группы компаний «Гарда» Павел Кузнецов.

На 2-м месте по популярности среди вредоносов – FormBook, следует из отчета. Он встречается в 20% трафика. Ранее FormBook позиционировалась как шпионская программа для перехвата логинов и паролей, отмечают авторы исследования: она позволяла получить сохраненные данные из Edge, Firefox, Chrome, Internet Explorer, Outlook, Thunderbird, а также перехватывать трафик и записывать нажатия клавиш. В конце 2018 г. официальные продажи FormBook прекратились, но в свободном доступе распространяется взломанная версия, предупреждают в BI.ZONE.

Еще в 15% фишинговых рассылок злоумышленники используют стилер White Snake, который собирает учетные данные из браузеров. Помимо этого софт дает возможность записывать видео с экрана, выполнять команды и загружать дополнительное ПО на устройство жертв, отмечают авторы исследования. В августе «Ведомости» писали, что пользователи получали рассылки от лица Генпрокуратуры и Роскомнадзора. По оценке экспертов, злоумышленники использовали как раз софт White Snake. Сейчас такое ПО можно приобрести в Telegram: цена начинается от $140 в месяц и достигает $1950 за бессрочную лицензию.

По словам руководителя компании «Интернет-розыск» Игоря Бедерова, оценить реальное количество фишинговых атак невозможно. «Приблизительно можно оценить регистрируемые домены и количество заявлений, но не потенциальные атаки, часть из которых не завершена или не попала в инфополе», – говорит он.

С начала 2023 г. с фишингом столкнулось больше половины россиян, сообщали «Ведомости» в начале августа со ссылкой на данные исследования, проведенного компанией «МТС Red». При этом 35% респондентов заявили, что получают фишинговые рассылки два или более раз в месяц. Чаще всего невнимательные пользователи откликались на предложение мошенников инвестировать в акции или проекты с высокой доходностью.

По словам представителя ГК «Солар», в III квартале 2023 г. доля высококритичных инцидентов с использованием вредоносного ПО (ВПО) в сравнении со II кварталом выросла с 71 до 83%, а в сравнении с I кварталом – почти в 2 раза. «Основным каналом доставки по-прежнему остаются фишинговые письма с фокусом на персонал компаний, которые занимают 2/3 от других атак с применением ВПО», – отметил представитель компании. Кроме того, потребность в усилении защиты конечных узлов становится все более острой и актуальной, так как злоумышленники все чаще применяют ВПО, не детектируемое базовыми средствами, предупреждает он.

В 2024 г. тренд на появление новых программ или бизнес-схем с использованием вредоносов сохранится, считает эксперт по кибербезопасности «Лаборатории Касперского» Леонид Безвершенко. «Также стоит отметить нарастающую популярность загрузчиков вредоносного программного обеспечения, которые используются для получения первоначального доступа к компьютеру жертвы», – добавляет эксперт. Фишинговые почтовые рассылки останутся одним из основных векторов атаки на инфраструктуру компаний, согласен руководитель центра кибербезопасности компании F.A.C.C.T. (бывшая Group IB) Ярослав Каргалев. Самыми популярными вредоносными программами в письмах, как и в 2023 г., будут стилеры и программы-шпионы, заключил эксперт.