Серия кибератак группировки Scaly Wolf на российские компании провалилась из-за ошибки хакеров в подмене файлов

Компания BI.ZONE рассказала, что группировка Scaly Wolf попыталась использовать новый инструмент, чтобы эффективнее внедрять в инфраструктуру организаций стилер White Snake. White Snake представляет собой вредоносное ПО (ВПО) для кражи данных. Однако вместо стилера на скомпрометированные устройства устанавливался легитимный файл, не причинявший никакого ущерба.

Группировка Scaly Wolf снова активизировалась в конце марта 2024 года. Ранее она неоднократно атаковала организации Российской Федерации и Республики Беларусь. Злоумышленники провели с разных email‑адресов минимум 6 фишинговых рассылок, нацеленных на промышленные компании, логистические компании и государственные организации.

Злоумышленники планировали получить доступ к корпоративным данным с помощью стилера White Snake. Ранее это ПО они уже использовали в прежних кампаниях. White Snake позволяет собирать сохранённые в браузере логины и пароли, записывать нажатия клавиш, копировать документы с заражённого компьютера, получать к нему удалённый доступ и многое другое.

Scaly Wolf действовала по привычной схеме, маскируя фишинг под официальные письма от федеральных ведомств. По плану, жертва должна была открыть приложенный ZIP‑архив, получив такое «официальное» письмо. Раньше хакеры помещали стилер в архив, но в новой кампании злоумышленники пошли сложным и, как им казалось, надёжным путём и воспользовались вредоносным загрузчиком. При открытии архива загрузчик должен был внедриться в приложение «Проводник» и установить последнюю версию White Snake, но всё получилось по‑другому.

По словам руководителя BI.ZONE Threat Intelligence Олега Скулкина, злоумышленники обновили способ доставки стилера в целевые системы, чтобы эффективнее обходить средства защиты, но сделали это