Фишеры вклиниваются в переписку и подсаживают трояна PikaBot

Фишеры вклиниваются в переписку и подсаживают трояна PikaBot

Фишеры вклиниваются в переписку и подсаживают трояна PikaBot

ИБ-эксперты предупреждают о волне атак на корпоративных пользователей. Взломщики встраиваются в уже существующую деловую переписку, добавляя нового трояна-загрузчика PikaBot. Программа пока обходит пользователей стран СНГ, но ситуация может измениться в любой момент.

Новую изощренную схему подсаживания опасных программ в корпоративную почту обнаружили эксперты “Лаборатории Касперского”.

Особенность массовой рассылки в том, что сообщения приходят якобы от пользователей, с которыми получатели уже вели деловую переписку. Злоумышленники вклиниваются в уже существующий диалог.

Тема письма может указывать на запись аудиоконференции, информацию о встрече или деталях по реальному проекту. Во всех письмах содержится ссылка, за которой скрывается вредонос. Если получатель переходит по ней, на устройство скачивается троян PikaBot.

Волна началась в десятых числах мая, отметили эксперты. Пик атаки пришёлся на период с 15 по 18 мая. За несколько дней было зафиксировано почти 5 тысяч подобных писем.

“Семейство PikaBot умеет проверять языковые настройки целевой системы”, — подчеркивает исследователь угроз “Лаборатории Касперского” Артем Ушков.

Если троянец видит русский, белорусский, таджикский, словенский, грузинский, казахский и узбекский языки, атака прекращается.

“Может показаться, что PikaBot пока не представляет серьёзной угрозы для российских пользователей, однако в России уже было зафиксировано существенное количество атак, и ситуация может измениться в любой момент”, — предупреждает Ушков.

Вместо PikaBot может быть загружен более деструктивный вредоносный файл.

PikaBot — новое семейство зловредов. Чаще всего его пока используют для скрытой установки других вредоносных семейств, а также для исполнения произвольного кода командной строки, полученной с удалённого сервера.

В атаках PikaBot используются те же методы, а иногда та же инфраструктура, что и для распространения банковского трояна Qbot — Anti-Malware.ru писал о нем в апреле. Он способен извлекать пароли и куки из браузеров, воровать письма, перехватывать трафик и давать операторам удалённый доступ к заражённой системе.

“В последние годы злоумышленники всё чаще маскируют вредоносные и фишинговые рассылки под деловую переписку”, — предупреждает руководитель группы защиты от почтовых угроз в “Лаборатории Касперского” Андрей Ковтун.

Текст из реальных писем помогает сделать такие сообщения более убедительными. Иногда в поле отправителя мошенники добавляют имя настоящего адресанта, хотя внимательный пользователь заметит, что электронный адрес, с которого отправлено письмо, отличается.

Часто сообщения относятся к переписке, завершившейся несколько лет назад.

Чтобы не стать жертвой таких атак, “Лаборатория Касперского” рекомендует пользователям проверять адрес, с которого пришло письмо, и не пересылать сообщения третьим лицам, не перепроверив информацию.

Компаниям же советуют проводить тренинги по кибербезопасности для сотрудников, обучать их распознавать техники социальной инженерии, а также установить надёжное защитное решение, которое автоматически будет отправлять подобные письма в спам.

Купоны на топливо оказались приманкой: мошенники собирают данные водителей

Топливная тема снова стала приманкой для мошенников. Эксперты «Лаборатории Касперского» зафиксировали новую волну почтовых рассылок, в которых пользователям обещают купоны на топливо и участие в программах лояльности АЗС.

Только с 30 июня по 1 июля 2026 года специалисты обнаружили более 3 тыс. таких писем.

Пользователю приходит письмо с предложением зарегистрировать купон на топливо. Для этого нужно перейти на сайт и заполнить анкету. На фейковом ресурсе обещают бесплатное оформление, доступ к топливу на АЗС по всей России и быструю подачу заявки. Конечно, всё срочно, выгодно и только сегодня.

Но вместо купона пользователь отдаёт мошенникам свои данные. Причём теперь злоумышленников интересуют не только имя и номер телефона. В анкетах также просят указать марку и модель автомобиля, госномер, предпочитаемый тип топлива и регион использования машины.

По мнению экспертов, такие данные могут использоваться как заготовка для более убедительной атаки. Например, после заполнения анкеты мошенники могут позвонить жертве уже от имени программы лояльности или представителя АЗС. Дальше сценарий может быть любым: эксклюзивная топливная карта, предоплата за бронирование топлива, заправка вне очереди или другая красивая легенда, которая в итоге ведёт к хищению денег.

Для убедительности фейковые сайты копируют элементы настоящих сервисов: фирменное оформление, карты АЗС, личный кабинет, горячую линию и описание преимуществ программы. Всё это бутафория. Дополнительно давят на срочность: количество купонов якобы ограничено, а топливо нужного класса вот-вот закончится.

В «Лаборатории Касперского» напоминают: если за купон, ваучер или льготу просят ввести личные данные, данные машины или заранее перевести деньги — это красный флаг. Проверять нужно адрес сайта, источник письма и не переходить по сомнительным ссылкам.

Ранее специалисты уже фиксировали похожие топливные схемы: фейковые ваучеры на 100 литров топлива и вредоносные Android-приложения под видом сервисов поиска топлива.

Кроме того, на днях Минэнерго заявило о риске сбора данных на сайтах и в сервисах, которые показывают наличие топлива на заправках.

RSS: Новости на портале Anti-Malware.ru