Не кликай беду: хакеры резко увеличили число атак через электронную почту

Сложности с обновлением Microsoft Office и подобных приложений увеличивают вероятность взлома
Иван Черноусов
Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

В марте 2022 года хакеры резко активизировали рассылку вредоносных программ по электронной почте — соответствующие защитные решения «Лаборатории Касперского» сработали 19 млн раз, рассказали «Известиям» в компании. Месяцем ранее таких атак было 14 млн. Особенно сильно выросла рассылка вирусов под видом документов в форматах .docx, .pdf, .zip, .rar, .xlsx. Офисные программы весьма уязвимы, например, в Microsoft Office регулярно обнаруживаются «дыры», отметили эксперты. Для российских пользователей ситуация усугубляется тем, что они потеряли возможность легально покупать новые версии многих иностранных программ. Возможное решение — переход на российское ПО.

Документ с сюрпризом

В марте 2022 года зафиксирован пик хакерских атак, проведенных через электронную почту пользователей. Защитные решения «Лаборатории Касперского» нейтрализовали 19 млн писем с «сюрпризами» от злоумышленников, притом что месяцем раньше их было 14 млн. Россия входит в десятку стран, где такие атаки происходили чаще всего, сообщили «Известиям» в «Лаборатории Касперского». Особенно популярны у хакеров письма с вложенными вредоносными документами — с их помощью вирусы пытались внедрить 5,5 млн раз в марте по сравнению с 2,7 млн в феврале.

— Злоумышленники активно используют офисные приложения при проведении как массовых атак на пользователей, так и целевых на конкретные компании. Сегодня вредоносные офисные документы — один из самых распространенных способов заражения устройств жертвы, причем происходит это часто через старые незакрытые уязвимости, — сообщил эксперт по кибербезопасности «Лаборатории Касперского» Денис Паринов.

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

Чаще всего вирусы вживляют в документы наиболее распространенных форматов .docx, .pdf, .zip, .rar, .xlsx. С их помощью рассылаются вирусы, черви, троянские программы, цель которых — получить конфиденциальную информацию о конкретном пользователе или компании и в дальнейшем попытаться ее монетизировать, рассказала бизнес-архитектор Solar webProxy компании «РТК-Солар» Анастасия Хвещеник.

— По содержанию такое письмо может быть практически любым, например, резюме, официальное обращение к генеральному директору, счет на оплату, тендерная документация и другое, — объяснила эксперт.

Пример подготовки такой атаки: злоумышленник открывает вакансии компании, находит контакты hr-специалиста и отправляет отклик на вакансию, прикладывая резюме с вредоносным ПО.

— Если фишинговая атака является целевой — специально подготовленной и направленной на определенного сотрудника в компании, мошенники могут отправлять письма, используя похожий на корпоративный домен адрес электронной почты. Таким образом, у жертвы не будет сомнений, что письмо отправляет ее коллега, — рассказала Анастасия Хвещеник.

Внимание на повестку

Изучение большого количества угроз с такими векторами атаки показывает, что во всем мире до сих пор пользуются популярностью старые версии офисного ПО. Пользователи таких продуктов становятся желанной целью для злоумышленников, сообщил «Известиям» основатель, директор по разработке и развитию продуктов «МойОфис» Дмитрий Комиссаров.

Фото: Global Look Press/Annette Riedl

Одним из самых популярных офисных решений до сих пор является Microsoft Office 2016, приводит данные портал Softwarekeeper. Еще один часто используемый продукт — Microsoft Office 2019.

Для российских пользователей ситуация усугубляется тем, что многие крупные западные компании, в том числе Microsoft, Adobe, SAP, Oracle, закрыли им доступ к покупке нового ПО. Например, сейчас российские пользователи не могут приобретать ключи на любые версии Microsoft Office у официальных партнеров компании. Кроме того, корреспондент «Известий» столкнулся с трудностями, когда хотел поставить уже оплаченный Microsoft 365 (версия Office, предоставляемая по подписке). ПО просто отказывалось загружаться из-за российского IP-адреса.

— Мы ожидаем, что беспрецедентное санкционное давление на Россию еще больше усугубит ситуацию, так как на горизонте ближайших двух лет значительно увеличится число пользователей, эксплуатирующих устаревшее ПО, — спрогнозировал Дмитрий Комиссаров.

Очевидным выходом из такой ситуации становится использование альтернативных офисных продуктов российских разработчиков, сказал специалист.

По мнению руководителя департамента информационно-аналитических исследований компании T.Hunter Игоря Бедерова, беспрецедентное количество атак через офисные документы связано с политической ситуацией в мире.

— Против России был дан неофициальный карт-бланш по части кибератак. Сегодня все государственные органы, предприятия и простые граждане находятся под угрозой, — сказал он.

«Киберармия» Украины насчитывает около 650 тыс. сторонников, которые массово проводят DDoS-атаки на российские информационные системы, публикуют недостоверные данные, угрожают российским гражданам в социальных сетях и в телефонных звонках, рассказал Игорь Бедеров. Однако большинство из этих кибератак крайне непрофессиональны, отметил он.

Фото: ИЗВЕСТИЯ/Алексей Майшев

— Острые общественные темы всегда используются в качестве приманки для атак с применением методов социальной инженерии, — полагает аналитик исследовательской группы Positive Technologies Яна Юракова.

Помимо этого спровоцировать такой скачок количества атак могли и ранее обнаруженные уязвимости в Microsoft Office. Например, в начале этого года были выявлены как минимум четыре крупные уязвимости (CVE-2022-21840, CVE-2022-21841, CVE-2022-22003, CVE-2022-22004), которые позволяют удаленно выполнять команды на компьютере жертвы, объяснила эксперт.

— Чтобы воспользоваться этими уязвимостями, злоумышленникам нужно было создать специальный документ-эксплойт, а в качестве способа доставки использовать, к примеру, электронную почту, — сказала Яна Юракова.

Легкая мишень

Популярность атак через электронную почту обусловлена тем, что их организация требует от злоумышленников минимума усилий. Достаточно вложить вредоносные макросы на языке Visual Basic for Application или иной исполняемый код в файлы .xlsx, .docx, сказал «Известиям» инженер информационной безопасности компании R-Vision Антон Кузнецов.

— К тому же код таких макросов легко привести к виду, затрудняющему анализ вредоносного кода, чтобы обойти средства антивирусной защиты или контроля сетевого трафика. После открытия вредоносного файла пользователем выполнение такого кода приводит к загрузке других вредоносных компонентов, необходимых для атаки: исполняемых файлов, вредоносных библиотек, дополнительных скриптов, — объяснил специалист.

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

Среди свежих образцов вредоносного ПО, а точнее их вложений, в последнее время преобладают трояны: Remote Access Trojan (RAT), или же троян удаленного доступа, позволяющий злоумышленнику получить удаленный контроль над компьютером жертвы, keylogger — программы, регистрирующие и отслеживающие каждое нажатие клавиши, которое пользователь вводит с клавиатуры, включая пароли и имена пользователей, подчеркнул Антон Кузнецов.

Популярность фишинговых атак обусловлена еще и тем простым фактом, что офисные приложения есть практически у любого корпоративного и домашнего пользователя — вероятность проведения успешной атаки, таким образом, сильно повышается, резюмировал эксперт.