Опасная работа
Компания Check Point установила, что количество вредоносных атак в Соединенных Штатах, замаскированных под особую форму резюме, увеличилось за последние два месяца вдвое. В целом, один из 450 идентифицированных вредоносных файлов был связан с CV. Специалисты обнаружили вредоносные файлы в формате Microsoft Excel, прикрепленные к электронному письму с темой: "заявка на работу" или "по поводу работы". Вместе с открытием письма жертвы злоумышленников загружали на свой компьютер вредоносную программу ZLoader.
Согласно данным, приведенным в исследовании, данная программа предназначена для кражи учетных данных и другой частной информации от пользователей целевых финансовых учреждений. Она также способна похищать пароли и файлы cookie, хранящиеся в веб-браузерах жертвы. Используя украденную информацию, вредоносное ПО может позволить злоумышленникам подключиться к системе жертвы и совершать нелегальные финансовые операции с устройства банковского пользователя.
В общей сложности, по статистике Check Point, в мае 2020 г. зарегистрировано 250 новых доменов, содержащих слово "employment" (работа). 7% этих доменов были вредоносными и еще 9% подозрительными.
Как сообщается в исследовании Check Point, вредоносные вложения также используют названия с медицинскими больничными документами. Документы, имитирующие медицинские формы отпусков, отправлялись по электронной почте с темой: "новая форма для запросов отпуска". Электронные письма были отправлены с разных доменов отправителей, таких как medical-center.space, чтобы побудить жертв к открытию вредоносных вложений. Данное вредоносное ПО направлено на то, чтобы заставить пользователей оставлять свои учетные данные на поддельной странице. Затем эти сведения отправляются на сервер злоумышленника в дополнение к сведениям об авторизации, которые можно использовать для взлома учетных записей пользователей.
В мае 2020 г. эксперты Check Point еженедельно отмечали в среднем более 158 тыс. атак, связанных с коронавирусом. Это на 7% ниже, чем в апреле. За последние четыре недели зарегистрировано 10 704 новых домена, связанных с коронавирусом. 2,5% из них были вредоносными (256 доменов) и еще 16% (1744 доменов) подозрительными.
Руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин, комментируя рост числа вредоносных файлов, имитирующих резюме, отмечает, что это один из сценариев социальной инженерии, в котором используется возросший интерес людей к вопросам трудоустройства на фоне пандемии коронавируса. "По нашей статистике за I квартал 2020 г. различное ПО для кражи данных применялось в 32% вредоносных кампаний в отношении юридических лиц и в каждой второй атаке (56%) на частных лиц. Основным методом распространения вредоносного ПО по-прежнему остается электронная почта - в 81% атак на юридические лица и в 51% атак на частных лиц", - говорит Евгений Гнедин. Он также не рекомендует загружать приложенные к письму файлы, если письмо получено от недостоверного источника. "Если открытие вложения требуется, исходя из служебных задач, рекомендуем проверять такие файлы в системах класса "песочница". В любом случае, не рекомендуется разрешать выполнение активного содержимого в документах MS Office, полученных от незнакомого отправителя", - предупреждает Евгений Гнедин.
"С учетом массового сокращения рабочих мест, перевода сотрудников на сокращенный режим работы крайне сомнительно, что компании массово именно сейчас ищут персонал. В принципе же расширенное резюме - это обычный файл в формате MS Word, который, естественно, может иметь вредоносное содержимое", - считает ведущий аналитик отдела развития компании "Доктор Веб" Вячеслав Медведев. По его мнению, указанный в исследовании рост числа вредоносных файлов, имитирующих CV, не имеет непосредственной связи с периодом пандемии. "Скорее всего, злоумышленники просто опробовали очередной вариант доставки "полезной нагрузки", - говорит он.
Вячеслав Медведев информирует, что вредоносные программы в резюме фиксировались еще три года назад. "В рассылке был Excel-файл, запускавший шифровальщик. До этого была попытка предложить скачать портфолио кандидата с сервиса Dropbox. Первые же попытки использования резюме для заражения - это район 2000 г. Тогда вакансии предлагала "швейцарская компания". Кадровикам могут прислать все что угодно. От якобы фотографии кандидата и до солидного pdf-файла. И все это будет вирус, но с точки зрения антивирусной компании - ничего экстраординарного", - говорит Вячеслав Медведев. По его словам, подавляющая часть этих рассылок отфильтровывается даже на уровне обычного антиспама, поэтому он рекомендует обязательно использовать антиспам для защиты от подобных угроз.
Что же касается России, то, как сообщает Вячеслав Медведев, здесь специалисты не обнаружили особого роста вредоносных файлов, имитирующих резюме. "Тем более что защита от таких угроз достаточно проста - использовать антивирус и отключить активное содержимое документов. Оно, кстати, уже отключено по умолчанию", - говорит Вячеслав Медведев. Он также утверждает, что, хотя количество мошенничеств на тему коронавируса весной резко возросло, на русском языке долгое время писем мошенников не было: все найденные письма были на английском языке.
Вячеслав Медведев отмечает, что каких-то особенных приемов для вредоносных файлов, имитирующих CV, в принципе нет. Чаще всего это файл с вредоносным содержимым в электронном письме или ссылка на внешний файл.
Размышляя о том, насколько данный тип будет опасен и в будущем, Вячеслав Медведев сообщает, что, скорее всего, число вредоносных файлов, имитирующих CV, увеличиваться не будет, так как защита от них, на взгляд специалиста, крайне проста.