Киберпреступники разработали новую схему мошенничества, в которой используют безобидные на первый взгляд уведомления о голосовых сообщениях для распространения вредоносного ПО. В рамках последней атаки злоумышленники выдают себя за сотрудников компании Veeam Software, эксплуатируя доверие пользователей к решениям для резервного копирования данных.
Описание
Эта кампания демонстрирует опасное сочетание методов социальной инженерии и эксплуатации уязвимостей в файлах. В данном случае атакующие замаскировали вредоносный код под WAV-файл - стандартный формат аудиозаписей, который редко вызывает подозрения у систем безопасности электронной почты. Жертва получает письмо, якобы содержащее уведомление о пропущенном звонке. В прикрепленном файле находится аудиозапись голосового сообщения, в котором "сотрудник Veeam" предупреждает о якобы истекающем лицензионном соглашении и просит перезвонить для уточнения деталей.
Однако реальная угроза кроется не в тексте сообщения, а в самом файле. Исследования показали, что злоумышленники могут внедрять в аудиофайлы скрытые вредоносные скрипты, которые активируются при его открытии. Это может привести к выполнению произвольного кода (RCE) на компьютере жертвы, заражению системы троянскими программами или даже шифровальщиками.
Особую тревогу вызывает выбор компании-прикрытия. Veeam - ведущий разработчик программного обеспечения для резервного копирования, чьи продукты широко используются в корпоративной среде. Мошенники рассчитывают на то, что получатели, знакомые с брендом, с меньшей вероятностью заподозрят подвох.
Кроме того, атака не является целенаправленной - злоумышленники рассылают письма массово, не утруждая себя проверкой, связан ли адресат с IT-инфраструктурой. Это снижает эффективность атаки, но делает ее масштабнее, поскольку позволяет охватить тысячи потенциальных жертв.
Эксперты по кибербезопасности отмечают, что подобные методы становятся все популярнее среди киберпреступников. Аудиофайлы, такие как WAV, редко блокируются почтовыми фильтрами, так как традиционно считаются безопасными. Однако с помощью стеганографии или уязвимостей в медиаплеерах злоумышленники могут превратить их в опасные инструменты атаки.
На данный момент не зафиксировано массовых инцидентов, связанных с этой конкретной атакой, но сам факт ее появления свидетельствует о развитии тактик фишинга. В будущем злоумышленники могут усовершенствовать свои методы, делая голосовые сообщения более убедительными или используя другие мультимедийные форматы для обхода защиты.
Индикаторы компрометации
URLs
- https://blog.rootshell.be/stuff/veeam-voicemsg.wav
