В 98% случаев вредоносы приходят по почте в виде вложений

В 98% случаев вредоносы приходят по почте в виде вложений

В 98% случаев вредоносы приходят по почте в виде вложений

Согласно статистике F.A.С.С.T., более 98% вредоносных программ, обнаруженных в письмах в 2023 году, распространялись в виде вложений. В половине случаев такие экзешники скрывались в архивных файлах.

Примечательно, что наибольшее количество вредоносных сообщений обычно рассылалось в начале недели. Пик приходился на вторник, со среды намечался спад, и к выходным имейл-активность злоумышленников стихала.

Эксперты также отметили высокое качество массово распространяемых писем-приманок, которым ранее могли похвастаться лишь APT-группы.

Размер вредоносных вложений составлял от 32 Кбайт до 2 Мбайт; более 36% файлов весили от 512 Кбайт до 1 Мбайт. В качестве аттачей злоумышленники предпочитали использовать архивы RAR (23,3%), ZIP (21,1%) или Z (7,7%) и обычно скрывали в них PE-экзешник.

Форматы офисных документов явно утратили свою популярность как средство маскировки: доля вложений в формате .xls сократилась с 15,8 до 4,4%, .doc — c 11,2 до 4,5%. Из вредоносов в письмах наиболее часто встречались шпион Agent Tesla (39,4%) и инфостилеры FormBook/Formgrabber (22,4%) и Loki PWS (7,4%).

 

«Тренд последнего года в фишинговых рассылках — это качественно составленные продуманные письма-приманки, которые еще пару лет назад могли себе позволить только отдельные профессиональные участники киберпреступного мира или продвинутые группировки, в том числе правительственные, в рамках проведения целевых атак, — комментирует Ярослав Каргалев, руководитель Центра кибербезопасности F.A.С.С.T. — Сейчас всё чаще фишинговые письма качественно эксплуатируют новостную повестку и несут в себе многочисленные стилеры, иногда специально адаптированные под конкретные цели злоумышленников».

19-летнего хакера вычислили по идентификатору Windows

В деле киберпреступной группировки Scattered Spider появился новый поворот: 19-летнего Питера Стоукса, гражданина США и Эстонии, задержали в аэропорту Хельсинки, когда он пытался улететь в Японию. По версии Минюста США, он связан с одной из самых шумных групп последних лет. А помогли выйти на него не только следователи, но и данные Microsoft.

Scattered Spider, также известная как Octo Tempest, UNC3944 и Oktapus, специализируется на социальной инженерии и вымогательстве.

По данным американских властей, группировка получила более $100 млн выкупов. Стоукса обвиняют в сговоре, кибервторжении и мошенничестве.

Ключевой эпизод дела — атака на американского продавца люксовых украшений в мае 2025 года. Злоумышленники якобы позвонили в ИТ-поддержку компании через Google Voice, представились сотрудниками и уговорили сбросить им учётные данные.

После этого они проникли в три аккаунта, два из которых имели права администратора, украли данные и потребовали $8 млн в криптовалюте. Компания выкуп не заплатила и вернула контроль над инфраструктурой, но простой, по утверждению следствия, обошелся примерно в $2 млн.

Дальше началась охота по цифровым следам. В материалах дела говорится, что Microsoft передала ФБР данные GDID — Global Device Identifier. Это уникальный идентификатор установки Windows, связанный с телеметрией устройства. С его помощью следователи смогли связать конкретное железо, интернет-активность, IP-адреса, использование инструментов вроде Ngrok, данные Azure и другие события с временными метками.

И тут история становится особенно щекотливой. С одной стороны, телеметрия помогла поймать предполагаемого участника крупной кибербанды. С другой — снова всплыл старый вопрос: сколько именно Windows знает о пользователях и кто ещё теоретически может добраться до таких данных?

При задержании у Стоукса также нашли два жёстких диска с уликами. Сейчас он экстрадирован в США, уже предстал перед федеральным судом в Чикаго и остаётся под стражей. Судя по делу, улететь в Японию было проще, чем улететь от телеметрии Windows.

RSS: Новости на портале Anti-Malware.ru