Angry Likho усиливает атаки на российские компании с помощью Lumma

Angry Likho усиливает атаки на российские компании с помощью Lumma

Angry Likho усиливает атаки на российские компании с помощью Lumma

Кибергруппа Angry Likho готовит новую серию целевых атак, которые стартовали как минимум с 16 января 2025 года. Исследователи выявили образцы, способные похищать конфиденциальную информацию с помощью стилеров, а также предоставлять удаленный доступ к заражённым устройствам через специальные утилиты.

Основными целями атак являются сотрудники крупных организаций в России и Белоруссии, включая государственные структуры и их подрядчиков.

Согласно телеметрии «Лаборатории Касперского», деятельность Angry Likho прослеживается как минимум с 2023 года. Группа действует волнообразно: периодически приостанавливает атаки, затем возобновляет их, внося незначительные изменения в тактику.

В рамках последней кампании были обнаружены десятки вредоносных имплантов, а также новые командные серверы.

Злоумышленники используют фишинговые письма, содержащие самораспаковывающиеся архивы, подготовленные под конкретных пользователей. Большинство таких файлов имеют русскоязычные названия и включают документы-приманки, тематика которых связана преимущественно с государственными учреждениями России.

Если пользователь открывает вложенный файл, на его устройство загружается инфостилер Lumma. Он собирает обширный объём данных, включая банковские реквизиты из браузеров, файлы криптокошельков, информацию о системе и установленных программах, файлы cookie, учётные данные пользователей, пароли, номера банковских карт и сведения из журнала подключений.

Эксперты отмечают, что Angry Likho использует доступные на специализированных форумах в даркнете инструменты, разрабатывая самостоятельно лишь механизмы доставки и целевой рассылки имплантов. Несмотря на минимальные изменения в тактике, злоумышленникам удается достигать своих целей.

Продукты «Лаборатории Касперского» детектируют такие угрозы под следующими сигнатурами: HEUR:Trojan.MSIL.Agent.pef, HEUR:Trojan.Win32.Generic.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Около 40% ИТ-преступлений В России совершаются по телефону

По оценке МВД РФ, в настоящее время примерно 40% ИТ-преступлений в стране совершаются с использованием телефонной связи. В 80% случаев целью является кража денег, которые мошенники зачастую предлагают перевести на «безопасный» счет.

Эту цифру озвучил в ходе круглого стола «Известий» на тему защиты от кибермошенничества замначальника отдела по противодействию ИТ-преступлениям УБК МВД Денис Костин.

Как оказалось, в мошеннических кол-центрах существуют даже свои надзиратели, которые могут оштрафовать рядового сотрудника за малейшую провинность.

«Это всё делается в профессиональных кол-центрах с распределением ролей, — рассказывает Костин. — Если раньше, когда мошенник звонил, можно было посмеяться и задать ему вопрос: “Чей Крым?”, и он там отвечал матом и бросал трубку, то сейчас им это делать запрещено».

Операторам, в основном молодым людям, также запрещено сознаваться в попытке обмана, пока собеседник на связи. За их работой следят «менеджеры»; если подопечный сделал что-то не по протоколу, ему грозит штраф.

Большинство мошеннических звонков поступает с Украины, где развернуто более 200 кол-центров. Самые отчаянные злоумышленники, пренебрегая риском, базируются на территории России.

Возрастной состав жертв обмана, со слов Костина, тоже изменился. Если ранее в сети мошенников попадали в основном пенсионеры, то теперь в группу риска входит также молодежь.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru