Компания F.A.C.C.T., разработчик технологий для борьбы с киберпреступлениями, отмечает новые тенденции во вредоносных рассылках. На первое место среди вредоносных начинок фишинговых писем вырвался стилер Formbook — его доля в рассылках увеличилась в 4 раза. Прежний лидер, AgentTesla, откатился сразу на третью позицию, а вторую строчку заняло малоизвестное ВПО DarkGate. Примечательно, что в фишинговых письмах уже практически не встретишь ссылки — в 82% вложений находится архив, а для доставки ВПО злоумышленники чаще стали использовать офисные документы.
Специалисты Центра кибербезопасности компании F.A.C.C.T. проанализировали фишинговые рассылки, которые перехватило и нейтрализовало решение F.A.C.C.T. Managed XDR в третьем квартале 2024 года. Киберпреступники практически отказались от использования ссылок для доставки вредоносного ПО, эта тенденция наблюдается долгое время. Доля фишинговых писем с вложениями увеличилась с 97,3% во втором квартале 2024-го до 99,1% в третьем квартале.
По мнению аналитиков ЦК F.A.C.C.T., сокращение использования ссылок связано с тем, что такая техника доставки вредоносного ПО не оправдывает затрат в массовых фишинговых рассылках. Использование ссылки в письме подразумевает, что вредоносная нагрузка должна храниться где-то на стороне, создавая дополнительные издержки для атакующих. Дополнительная задача замотивировать потенциальную жертву кликнуть на ссылку для загрузки вредоносного ПО также может вызывать проблемы. Вложение к письму как привычный элемент почтовой коммуникации реже вызывает подозрения, чем и пытаются воспользоваться злоумышленники.
В 82% вредоносных писем получатели увидят во вложении архив, содержащий вредоносный экземпляр, чаще всего в виде исполняемого файла. Самые популярные у злоумышленников расширения — ZIP и RAR (встречаются в 6 из 10 вредоносных писем), а также 7z, Z, GZ и другие.
