Перед майскими праздниками сотрудники российских компаний начали получать сообщения в Telegram с предложением загрузить себе «пак аватарок для отпуска», которые можно установить в мессенджерах на время своего отсутствия. Во вложении прикреплен архив RAR, содержащий вредоносный скрипт, собирающий данные с устройства для отправки злоумышленникам.
Об этом «Газете.Ru» рассказал руководитель ИБ-направления «Телеком биржи» Александр Блезнеков.
«Мы зафиксировали новую фишинговую рассылку по сотрудникам организаций, которая приходит от имени якобы HR-отделов. В сообщении говорится, что перед сезоном отпусков дизайнеры компании сделали специальный пак с аватарками, которые можно установить в мессенджерах, чтобы «сообщить коллегам о своем временном исчезновении из рабочих чатов», — рассказал Блезнеков.
К сообщению злоумышленники прикрепляют RAR-архив, при открытии которого запускается скрипт для поиска и кражи конкретных файлов на компьютере жертвы, например, документов с определенными словами в названиях, и отправки их злоумышленникам. Речь идет о массовой рассылке — сотрудники российских компаний, преимущественно из IT-сектора, получили более 300 таких сообщений. По словам Блезнекова, большинство таких вирусов нацелены на операционную систему Windows.
«В идеальном сценарии защита компании должна быть выстроена таким образом, что любые действия сотрудников, в том числе с файлами, в корпоративной сети будут анализироваться при помощи механизмов SOC (Security Operation Center). Центр мониторинга киберугроз проверяет события безопасности, которые поступают в систему из различных источников, а когда замечает подозрительную активность — принимает меры для предотвращения атаки», — заметил Блезнеков.
Например, в случае запуска вредоносного скрипта учетная запись сотрудника моментально блокируется, а его компьютер — изолируется от корпоративной сети и интернета, чтобы собранные макросом не могли быть доставлены злоумышленникам. Кроме того, можно заблокировать запуск макросов в скачанных на рабочих станциях файлах по умолчанию.