Email Appender внедряет мошеннические письма прямо в ящик

Татьяна Никитина 13 Ноября 2020 - 16:49

...

Email Appender внедряет мошеннические письма прямо в ящик

На теневом русскоязычном форуме обнаружена реклама новой программы для таргетированных атак, позволяющей доставлять поддельные письма в обход защитных фильтров, установленных на пути к серверу-адресату. По оценке экспертов, использование Email Appender способно повысить эффективность целевого фишинга и BEC-атак (business email compromise, мошенничество посредством компрометации корпоративной почты), а также простейших схем вымогательства с помощью зловредов.

В отличие от обычных программ-мейлеров Email Appender не рассылает сообщения, а внедряет их непосредственно в ящик намеченной жертвы. Новый инструмент предлагается спамерам в пользование по подписке, и стоимость этой услуги вдвое выше обычного.

Представляя свою находку, аналитики из Gemini Advisory отметили что используемая Email Appender техника не нова. Эксперты уже сталкивались с ней, разбирая целевые атаки фишеров и вредоносные кампании Emotet, QBot, JavaScript-трояна Valak, а также Ursnif, он же Rovnix и Papras.

Использование Email Appender предполагает наличие списка скомпрометированных учетных данных — такую базу можно с легкостью приобрести в дарквебе. Перебирая логины и пароли, программа пытается авторизоваться на email-сервере, открыть целевой ящик и добавить в него свое письмо. Протокол IMAP, по словам экспертов, предоставляет такую возможность пользователям, успешно прошедшим аутентификацию.

Для обхода почтовых систем мониторинга, отслеживающих заходы в аккаунты с непривычных IP-адресов, злоумышленник может задать проксирование трафика через SOCKS-сервер — настройки Email Appender позволяют это сделать. Новый инструмент также снабжен обновляемым списком из 10 тыс. вариантов конфигурации IMAP-сервера, который он использует для более точного наведения на цель.

После входа в чужой ящик злоумышленник может видоизменить свое сообщение, сделав его более убедительным для данной мишени. Поскольку письмо не проходит весь путь до сервера-получателя, смена отправителя или подстановка RE: в строку темы останутся незамеченными.

Чтобы исключить вектор атаки, используемый Email Appender, эксперты советуют запустить систему многофакторной аутентификации (MFA). Такую опцию предлагают многие крупные email-провайдеры, но, к сожалению, их клиенты мало ею пользуются. Оповещения о входе в ящик с необычного IP-адреса, как уже говорилось, не способны предотвратить взломы, однако помогут жертвам быстрее узнать об инциденте и принять соответствующие меры — сменить пароль, включить MFA.

Следующая главная новость »

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »

Екатерина Быстрова 12 Декабря 2025 - 17:15

Трояны Шпионские программы Программы слежения Домашние пользователи UserGate

WhatsApp Gold для россиян оказался инструментом кибершпионажа

В мессенджере WhatsApp (принадлежит признанной в России экстремистской организации и запрещённой корпорации Meta) среди российских пользователей снова начала распространяться «золотая классика» мошенников — приложение WhatsApp Gold. На фоне обсуждений возможных ограничений работы сервиса злоумышленники активно предлагают установить «улучшенную» версию мессенджера, которая якобы помогает восстановить его работоспособность.

На деле же речь идёт о зловреде для кибершпионажа. Как сообщил ТАСС специалист компании UserGate, WhatsApp Gold — это не официальный клиент, а инструмент для скрытого сбора данных.

Подобные схемы используются уже много лет: сообщения о WhatsApp Gold появлялись ещё до начала 2020-х и регулярно «возвращаются» при любом информационном шуме вокруг популярных сервисов.

Похожую активность ранее фиксировали и в компаниях F6 и «Мегафон». По их данным, мошенники продвигали поддельные версии не только WhatsApp, но и других популярных платформ — Telegram, YouTube и TikTok. Среди примеров — трояны с громкими названиями вроде TikTok 18+, YouTube Ultra или Telegram Unlock.

По словам и.о. директора по информационной безопасности UserGate Дмитрия Овчинникова, установка WhatsApp Gold может привести к серьёзным последствиям. Зловред позволяет злоумышленникам выгружать данные с устройства, включая учётные данные, а в отдельных случаях — получать доступ к аккаунтам на портале «Госуслуги».

Эксперт подчёркивает: любые предложения установить «дополнительное ПО» для восстановления или улучшения работы мессенджера следует сразу рассматривать как мошеннические. Официальных «альтернативных» клиентов WhatsApp с такими функциями не существует.

На этом фоне ситуация вокруг самого WhatsApp остаётся напряжённой. Роскомнадзор ранее заявлял о поэтапном введении ограничений в отношении мессенджера из-за нарушений законодательства и не исключал его полной блокировки в России.

Глава Совета при президенте РФ по развитию гражданского общества и правам человека Валерий Фадеев в интервью ТАСС отметил, что не видит проблемы в блокировке WhatsApp при наличии отечественных альтернатив, таких как Max.

Напомним, в соцсетях активно распространяется лайфхак, который, как утверждают пользователи, ускоряет работу мессенджера WhatsApp.

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »