Вредоносный ответ: эксперты ЦК F6 обнаружили необычный способ рассылки майнера

Специалисты Центра кибербезопасности компании F6 зафиксировали новый способ доставки майнера Xmrig —  вредоносного ПО, предназначенного для скрытой добычи криптовалюты Monero  —  при помощи настроенных автоматических autoreply-ответов со скомпрометированных почтовых адресов. Начиная с конца мая схема использовалась для атак на ведущие российские интернет-компании, ритейл и маркетплейсы, страховые и финансовые компании.

С конца мая 2024 года система F6 Business Email Protection заблокировала более 150 вредоносных рассылок, которые отправлялись с почтового сервиса с использованием автоответчика (autoreply) – стандартной функции почтовиков, позволяющей отправлять подготовленное сообщение на все входящие письма.

В качестве маскировки атакующие в рассылках использовали вложенный скан счета на оплату оборудования, однако в самих письмах находилась ссылка на вредоносный архив на  облачном сервисе. Отсюда и загружался майнер Xmrig, который поддерживает популярные алгоритмы майнинга и, в основном, используется для добычи монеты Monero.

Поскольку включить функцию автоответчика можно только, обладая доступом к почте, аналитики предположили, что столкнулись с  массовой компрометацией почтовых адресов. В ходе их изучения было выяснено, что все они фигурировали в утечках баз данных, которые содержат в себе учетные данные как в открытом виде, так и в виде хэшей, которые легко подбираются методом радужных таблиц, содержащих заранее просчитанные пароли, так как имеют минимальную длину и личные данные пользователей (имена, фамилии, даты рождения и т.д.).

Напомним, что, по данным F6, в первом полугодии 2024 г. в публичном доступе оказались 150 баз данных российских компаний. Общее количество строк данных пользователей, попавших в утечки в 2024 году, составило 200,5 млн.

Среди пользователей, чьи почтовые ящики были скомпрометированы,  были замечены, в основном, физические лица, однако также есть почты арбитражных управляющих, небольших торговых компаний, строительных компаний, мебельной фабрики и фермерского хозяйства.

«Данный способ доставки ВПО опасен тем, что потенциальная жертва первая инициирует коммуникацию — вступает в переписку и ждет ответное письмо. В этом состоит главное отличие от традиционных массовых рассылок, где получатель часто получает нерелевантное для него письмо и игнорирует его. В данном случае, хотя письмо не выглядит убедительным, коммуникация уже установлена и сам факт распространения файла может не вызывать особого подозрения, а лишь пробудить интерес у жертвы».

Дмитрий Ерёменко

Старший аналитик Центра кибербезопасности F6

Специалисты ЦК рекомендуют пользователям соблюдать правила цифровой гигиены, использовать сложные и уникальные пароли, которые не содержат личной информации и не подверженных атаке по словарю или прямому перебору. Использовать менеджеры паролей (aka KeePass). Установить для аккаунтов, где возможно, второй фактор.

Также во избежания утечек пароля не стоит сохранять пароли в браузерах, устанавливать нелицензионное ПО, потому что оно может содержать стиллеры, не переходить по сомнительным ссылкам на почте и не вводить свои данные на сомнительных сайтах (фишинг). Нужно избегать переходов по ссылкам и аутентификаций в мессенджерах, особенно когда просят проголосовать за кого-то или внезапно «выигрывается» денежнаяя сумма и прочие схемы развода и фишинга.

Для защиты от подобно типа атак рекомендуем компаниям

• Проводить регулярные обучения рядовых сотрудников организации для  повышения знаний об актуальных угрозах в области информационной  безопасности.
• Иметь строгую парольную политику с многофакторной аутентификацией (MFA) и регулярным обновлением паролей.
• Проводить мониторинг фактов компрометации учетных записей корпоративных  пользователей, их публикации или на продажи на теневых площадках.

Защищать корпоративную почту с помощью решений F6 BEP и F6 MXDR.