Шпионские группы обычно нападают на исследовательские и государственные организации, отправляя ложные электронные письма от имени регуляторов или государственных структур. Однако группа Squid Werewolf выбрала другой метод: они выдали себя за менеджеров по персоналу крупной компании.
Эта группа шпионов атакует организации в разных странах мира, включая Южную Корею, Японию, Вьетнам, Россию, США, Индию, ОАЭ и другие. В конце 2024 года они попытались проникнуть в российскую компанию, отправив сотруднику письмо о возможной работе в реальной компании.
Олег Скулкин из компании BI.ZONE отметил, что злоумышленники очень хорошо подготовились к атаке и собрали информацию о своей жертве, чтобы сделать своё письмо более правдоподобным. В письме был вложен ZIP-архив с файлом-ярлыком, который выглядел как документ с предложением о работе.
Преступники использовали маскировку вредоносного кода, чтобы усложнить его обнаружение. Запуск файла-ярлыка приводил к загрузке вредоносного ПО, а код был затруднен для обнаружения.
Использование архивов с исполняемыми файлами и ярлыками связано с ограничениями, введенными Microsoft. С начала 2022 года Windows блокирует макросы в документах, загруженных из интернета, поэтому злоумышленники переходят на менее защищенные форматы.
По данным аналитиков, в 2024 году 57% целевых атак на российские компании начались с фишинговых писем.
© KiberSec.ru – 02.04.2025, обновлено 02.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
