Mail и VK WorkSpace сообщают о росте таргетированных фишинговых рассылок, нацеленных на компании (особенно бухгалтерию), где злоумышленники маскируют письма под легитимные бизнес-коммуникации (SWIFT-подтверждения, счета, оферты, запросы документов).
Атаки идут с скомпрометированных бизнес-аккаунтов зарубежных организаций, что повышает доверие к письмам. Во вложениях – RAR-архивы, внутри которых скрыт вредоносный VBS-скрипт, замаскированный под Excel-файл или архив. При открытии вложения на устройство загружается скрипт, который предоставляет удалённый доступ злоумышленникам, позволяет похищать учётные данные и устанавливать дополнительное вредоносное ПО.
По данным аналитиков, на такой тип нежелательных вложений приходится около 30% всех вредоносных файлов за последний месяц. Чаще всего используются темы SWIFT-платежей, счетов-фактур, коммерческих предложений и запросов документов, то есть максимально «рабочие» поводы.
Эксперты отмечают, что атакующие уходят от привычных исполняемых файлов и документов Office, делая ставку на нестандартные форматы, многоуровневые цепочки и архивы со встроенными скриптами, тщательно маскируя их под реальные бизнес-документы.
Со стороны почтовых/корпоративных сервисов такие рассылки и домены оперативно выявляются и блокируются за счёт антиспам-систем и ML-моделей, которые дообучаются на новых сценариях атак в режиме реального времени. Тем не менее пользователям и сотрудникам рекомендуют строго соблюдать базовую кибергигиену: внимательно проверять вложения даже в рабочих ящиках, проверять адрес отправителя и домен, не открывать архивы с подозрительными скриптами или файлами, которые при запуске требуют дополнительные разрешения и доступ к устройству или данным.
Если нужно, могу на основе этого текста сделать короткий чек-лист для сотрудников (в тональности корпоративной рассылки по ИБ).
