30.01.2024
BI.ZONE рассказали об инфолстилере White Snake. Вредонос использует хакерская группировка Scaly Wolf. Как рассказали специалисты, разработчик инфостилера запретил его использование на территории СНГ, но Scaly Wolf обошла запрет. По данным экспертов, группировка активна с начала лета 2023 года и инициировала не менее 10 кампаний. Преступники охотились за корпоративными данными, преимущественно выбирая в качестве целей промышленные и логистические компании из России. Последняя атака была инициирована в январе 2024 года. Для распространения вредоносных программ злоумышленники рассылают фишинговые письма, замаскированные под документы государственных органов. Это могли быть запросы и требования Роскомнадзора, Следственного комитета РФ, Военной прокуратуры РФ или судебные постановления и другие предписания регуляторов. В некоторых случаях письма были замаскированы под коммерческое предложение. Главным отличием Scaly Wolf являлся высокий уровень юридической грамотности, с которой составлялось фишинговое письмо и поддельные документы. Во всех случаях текст письма выглядит крайне убедительно и вызывает доверие у пользователей. Это побуждает жертву следовать инструкции из письма и файл из приложенного архива, где якобы содержатся документы, а в действительности там находился стилер White Snake. Он позволяет получать несанкционированный доступ к корпоративной электронной почте, CRM-системам и другим ресурсам и собирает аутентификационные данные, сохранённые в браузере логины и пароли, записывает нажатия клавиш, копирует файлы с заражённого компьютера и обеспечивает удалённый доступ к нему. Вредонос интегрирован с telegram?ботом, где злоумышленники получают оповещения о новых заражённых устройствах. White Snake привлекает киберпреступников низкой стоимостью подписки ($140 в месяц), простотой в использовании и широкой функциональностью, в том числе возможностью красть данные криптокошельков. Несмотря на то, что разработчики White Snake запретили её использование в России и СНГ, Scaly Wolf нашла лазейку – отключила функцию, которая останавливала работу программы при обнаружении российского или СНГ IP-адреса. Наиболее вероятные мотивы Scaly Wolf - получение выкупа за украденные данные или их перепродажа на черном рынке. Судя по непрерывающейся активности, атаки группировки на российские компании будут продолжаться, скорее всего, по той же схеме с фишингом и использованием White Snake. Фишинг закон наказывает редко и приходится надеяться на технические средства охраны и бдительность потенциальных жертв злоумышленников. Следует констатировать, что на сегодняшний день практически произошла международная синхронизация преступных деяний. Появляясь и развиваясь неравномерно по мере распространения компьютерных технологий и сети Интернет, начиная с США и отдельных европейских государств, в настоящее время международное сообщество в большинстве своем едино и абсолютно солидарно в выделении соответствующих деяний на нормативном уровне. В целом они охватываются преступлениями против конфиденциальности, целостности и доступности компьютерных данных и систем, перечисленных в будапештской Конвенции Совета Европы 2001 года.