Даже простые фишинговые схемы могут быть эффективными, если апеллируют к человеческим слабостям.
Обновлённая версия вредоносного программного обеспечения для кражи информации под названием Rhadamanthys используется в фишинговых кампаниях, нацеленных на сектор нефти и газа. Киберэксперт компании Cofense Дилан Дункан сообщает, что в фишинговых письмах хакеры применяют уникальную уловку, вызывающую крайнее любопытство жертв, в результате чего они с высокой вероятностью попадаются на мошенническую удочку.
Атака начинается с электронного письма случайному сотруднику нефте-газового предприятия, в котором утверждается, что его транспортное средство попало в ДТП. Исследователи зафиксировали следующие темы писем, которые чаще всего приходили потенциальным жертвам:<ul><li>«Срочно: просмотрите информацию о вашей автомобильной аварии»;</li>
</ul><ul><li>«Требуется внимание: столкновение вашего автомобиля»;</li>
</ul><ul><li>«Инцидент, связанный с вашим автомобилем: требуются немедленные действия»;</li>
</ul><ul><li>«Уведомление: инцидент с участием вашего автомобиля»;</li>
</ul><ul><li>«Ваш автомобильный инцидент: необходимы срочные юридические действия».</li>
</ul>https://www.securitylab.ru/upload/me...xq3vn0wxit.png
Вредоносная ссылка в письме имитирует изображение, размещённое в сервисе Google Images, и использует уязвимость открытого перенаправления, чтобы в итоге привести получателей к PDF-файлу, в котором указано, что транспортное средство жертвы якобы стало участником ДТП и скрылось с места происшествия, а потенциальный штраф за такое может составить $30 000.
https://www.securitylab.ru/upload/me...rtqxpu4wh1.png
Разумеется, если жертва срочно свяжется с местным Департаментом транспорта, штрафа можно будет избежать. По крайней мере, в такую историю злоумышленники хотят заставить поверить жертву.
В вышеупомянутом PDF-файле содержится размытое изображение автомобильной аварии, а также поддельное уведомление от сервиса Adobe Reader, которое гласит, что изображение невозможно просмотреть пока жертва не обновит программное обеспечение.
После нажатия на кнопку «Обновить» (а по факту на любое место в рамках вредоносной картинки), на компьютер жертвы загружается ZIP-архив с замаскированной полезной нагрузкой Rhadamanthys — вредоноса, написанного на C++, используемого для сбора конфиденциальных данных с заражённых хостов.
Ранее жертвами подобной атаки стали украинские бухгалтеры и госслужащие, которым также приходили десятки фишинговых писем, направленных на распространение программы-вымогателя Smokeloader. Вредоносное ПО маскировалось под кажущихся безвредными финансовые документы, большинство из которых были легитимны, так как были украдены у организаций, скомпрометированных злоумышленниками ранее.
Несмотря на постоянные предупреждения о фишинговых атаках, многие люди по-прежнему попадаются на уловки злоумышленников. Этот пример демонстрирует, что даже простые в реализации фишинговые схемы могут быть эффективными, если они апеллируют к человеческим слабостям — любопытству, страху и желанию избежать проблем.
Чтобы защититься, необходимо воспитывать бдительность, критическое мышление и навыки распознавания манипуляций. Только так можно обезопасить себя от целенаправленных атак, направленных на кражу ценной информации.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://cofense.com/blog/recently-updated-rhadamanthys-stealer-delivered-in-federal-bureau-of-transportation-campaign/</pre>