Вредоносный ответ: эксперты ЦК F.A.C.C.T. обнаружили необычный способ рассылки майнера
Специалисты Центра кибербезопасности компании F.A.C.C.T. зафиксировали новый необычный способ доставки майнера Xmrig — вредоносного ПО, предназначенного для скрытой добычи криптовалют — при помощи настроенных автоматических ответов почтового адреса. Рассылка autoreply-писем велась с скомпрометированных почтовых адресов. Начиная с конца мая схема использовалась для атак на ведущие российские интернет-компании, ритейл и маркетплейсы, страховые и финансовые компании.
Не так давно аналитики ЦК обратили внимание на волну однотипных вредоносных рассылок по российским компаниям — маркетплейсам, ритейлу, финансовым и страховым компаниям. Всего с конца мая было зафиксировано около 150 подобных писем.
Все сообщения отправлялись с почтового сервиса с использованием автоответчика (autoreply) – стандартной функции почтовиков, позволяющей отправлять подготовленное сообщение на все входящие письма, а в самих письмах находилась ссылка на облако, куда был сохранен файл, содержащий ВПО.
Компрометация отправителей
Все вредоносные рассылки, отправленные в адрес клиентов F.A.C.C.T. были заблокированы системой Business Email Protection, компании и почтовый сервис уведомлены об угрозе. Анализ почтовых адресов, на которых был установлен «вредоносный» автоответ показал, что раньше они использовались в легитимных целях. Так как включить функцию автоответчика можно только обладая доступом к почте, данная ситуация свидетельствовала о потенциальной массовой компрометации этих почтовых адресов, после чего ими и воспользовались злоумышленники. Это гипотеза была быстро подтверждена.
В процессе изучения используемых адресов было выяснено, что все они фигурировали в утечках баз данных, которые содержат в себе учетные данные как в открытом виде, так и
Читать на habr.com
