Омоглифы возвращаются
Компания F.A.С.С.T. зафиксировала резкий рост попыток обхода антиспам-решений с помощью омоглифов — графически одинаковых или похожих друг на друга знаков во вредоносных рассылках. В третьем квартале 2023 года количество подобных писем в 11 раз превысило показатели аналогичного периода прошлого года. Самыми популярными подменными буквами у киберпреступников стали — Е, О, С, А.
По данным специалистов Центра кибербезопасности F.A.C.C.T., резкий всплеск подмен в символах тем и текста в письмах с вредоносным вложением наблюдается с начала этого года. Так, подобную технику используют операторы стилера WhiteSnake, вредоносной программы для кражи учетных данных из браузеров, приложений и криптокошельков жертв. В августе стилер распространялся под видом письма от следователя. Тогда сотрудники компаний получали письма якобы с запросом дать показания по уголовному делу. На самом деле в рассылке был архив с вредоносом.
С одной стороны, расстановка омоглифов позволяет киберпреступникам и просто спамерам разослать больше писем, обходя встроенные фильтры почтовых сервисов на исходящие сообщения и снижая вероятность оперативной блокировки почтового адреса, откуда шла рассылка. С другой стороны — вредоносные письма таким образом обходят антиспам-системы во входящих письмах и могут дойти до адресатов.
Как правило, злоумышленники добавляют латинские символы-омоглифы в письма на русском языке. Самыми популярными литерами при заменах стали Е, О, С, А, при этом использование специальных символов или других алфавитов не обнаружено. В письмах из одной вредоносной рассылки могут встречаться различные варианты замен букв.
"Судя по всему, старый трюк с омоглифами вполне работает. В 2023 году мы видим резкий всплеск использования во вредоносных письмах на русском языке подмены букв на латинские. — рассказывает Ярослав Каргалев, руководитель Центра кибербезопасности F.A.С.С.T. — Такой простой прием может обмануть рядовую антиспам-систему, а получатель письма рискует скомпрометировать свою электронную почту, устройство или всю сетевую инфраструктуру компании, пройдя по фишинговой ссылке или открыв архив с вредоносом. А автоматизированную систему защиты электронной почты от фишинговых рассылок так легко не проведешь".