Версия // Общество // «Важные файлы» устанавливают трояны на компьютеры бухгалтеров

«Важные файлы» устанавливают трояны на компьютеры бухгалтеров

3909

Закрывающие документы

Бухгалтерам разослали вредоносную программу
В разделе

С началом осени рабочие компьютеры российских бухгалтеров атаковали письма, якобы содержавшие бухгалтерские документы. После запуска файла, который хакеры скрывали за безобидной темой «Закрывающие документы», компьютер оказывался заражённым вредоносным ПО.

В сентябре российские компании получили массовую рассылку сообщений с вредоносной программой, которая была замаскирована под документы для бухгалтерии. Попытка запуска программы оборачивалась утечкой данных пользователей и подключением их компьютеров к ботнету. Всего за месяц такие послания получили 15,3 процента пользователей в России, сообщает «Коммерсантъ» со ссылкой на данные экспертов Check Point.

В тройку самых активных вредоносных программ в России по итогам октября вошла Pony, которая распространялась среди россиян, маскируясь под бухгалтерскую документацию. Кроме того, в тройку по традиции попали криптовалютные майнеры Cryptoloot и XMRig. Согласно оценке Check Point, 15,3 процента россиян получили письма, а сколько из них пострадали от действий хакеров, неизвестно.

Письмо для бухгалтерии

По имеющимся данным, программа распространяется через файлы с расширением .exe, при этом, чтобы усыпить бдительность пользователей, хакеры снабжают письма темами «Закрывающие документы вторник» или «Документы сентябрь». После открытия файла программа устанавливает на устройстве другое ПО и похищает информацию пользователей. В итоге компьютер превращается в ботнет – устройство, которое возможно использовать для незаконной деятельности.

Эксперты связали усилившуюся активность хакеров с окончанием сезона отпусков. Таким образом, злоумышленники наблюдают за возросшей аткивностью пользователей и подстраиваются под эти тенденции.

Сотрудники «Ростелеком-Solar» отмечают, что в сентябре были зафиксированы фишинговые письма со схожими темами. С их помощью распространялась не только программа, но и файлы семейства RTM, используемые для удалённого управления компьютером. Второй вариант предоставляет хакерам куда большую свободу действий, чем простая кража данных.

Способы борьбы

Руководитель отдела расследования инцидентов Solar JSOC Игорь Залевский отметил, что самой простой и действенной мерой по защите от подобных писем является контентная фильтрация на почтовом шлюзе. Для этого пользователи должны отключить передачу по электронной почте любых исполняемых файлов.

Как сообщает издание, ESET Russia обнаружила подобные файлы еще в апреле. Письма, рассылаемые пользователям, были нацелены на финансовые и юридические подразделения. По данным компании, при поиске пользователями образцов документов предложения со ссылкой на вредоносную программу появлялись в «Яндекс.Директ». После обращения в «Яндекс» реклама была удалена.

Глава Zecurion Владимир Ульянов пояснил, что подобные атаки – обычная практика. Они весьма популярны в связи с тем, что работающие с важными документами бухгалтеры не всегда в полной мере осведомлены о существующих угрозах. По его словам, все компании работают с закрывающими документами, но не все работники точно знают, как эти документы выглядят. Он выразил уверенность, что помочь в борьбе с вредоносными программами может повышение осведомлённости сотрудников о возможных угрозах.

Распространяемая среди пользователей программа Pony относится к шпионскому типу, одному из наиболее популярных среди хакеров, сообщил старший специалист экспертного центра безопасности Positive Technologies Алексей Вишняков. Согласно оценкам специалистов компании, в течение второго квартала текущего года шпионские программы использовались в 27 процентах атак на юрлица и 20 процентах атак на частных пользователей. Как отметил эксперт, определить заражение помогают средства анализа сетевого трафика и системы по сбору и мониторингу событий инфобезопасности.

Логотип versia.ru
Опубликовано:
Отредактировано: 24.10.2019 15:20
Комментарии 0
Еще на сайте
Общероссийская газета независимых журналистских расследований «Наша версия» Газета «Наша версия» основана Артёмом Боровиком в 1998 году как газета расследований. Официальный сайт «Нашей версии» публикует материалы штатных и внештатных журналистов газеты и пристально следит за событиями и новостями, происходящими в России, Украине, странах СНГ, Америке и других государств, с которыми пересекается внешняя политика РФ.
Наверх