В Российской Федерации выявлена новая схема киберпреступной активности, включающая использование поддельных Captcha и внедрение ранее неизвестного трояна.
Согласно данным, предоставленным исследовательской группой BI.ZONE, в период с мая по июнь текущего года злоумышленники осуществили атаку на порядка тридцати организаций, используя многоэтапную тактику.
Инициальная стадия атаки заключалась в массовой рассылке писем, имитирующих официальные сообщения государственных органов. В качестве приманки использовался поддельный PDF-документ с размытым текстом, что стимулировало пользователей к активации встроенной Captcha для верификации подлинности документа.
На следующем этапе открывался поддельный веб-сайт, где пользователю предлагалось повторно пройти процедуру верификации. При этом в буфер обмена вставлялся вредоносный код, который активировался при выполнении пользователем ряда простых действий.
Для маскировки вредоносной нагрузки применялась техника ClickFix, ранее известная в контексте киберугроз, но не получившая широкого распространения в данной форме.
После активации вредоносного кода происходило скачивание изображения в формате PNG, содержащего многоступенчатый загрузчик, включающий как легитимные компоненты, так и скрытые исполняемые модули. Одним из таких модулей являлся троян, ранее не фиксировавшийся в исследовательских материалах.
Специалисты BI.ZONE предполагают, что автор данного трояна может быть связан с той же преступной группой, которая стояла за организацией атаки.
Данный инцидент подчеркивает высокий уровень технической изощренности и сложности современных кибератак, а также актуализирует необходимость совершенствования мер киберзащиты для российских организаций.