По мере роста безработицы исследователи Check Point обнаруживают вредоносные файлы, маскирующиеся под CV с темой «applying for a job» (просьба о приеме на работу) или «regarding job» (по поводу работы).
Они побуждают жертв передать хакерам банковские пароли, что позволит злоумышленникам совершать нелегальные финансовые транзакции с личного устройства пользователя.
Самое главное:
- Количество вредоносных файлов в форме резюме удвоилось за последние два месяца
- 7% зарегистрированных доменов, содержащих слово «employment» (занятость), являются вредоносными
- Количество вредоносных атак увеличилось на 16% по сравнению с мартом и апрелем.
Исследователи Check Point обнаружили вредоносные файлы, маскирующиеся под CV –– особую форму резюме. Прикрепленные к электронному письму файлы в формате Microsoft Excel были с такими темами: «заявка на работу» или «по поводу работы». Когда жертвы открывали прикрепленные файлы, их просили «включить содержимое».
На самом деле после этого жертвы загружали печально известную вредоносную программу ZLoader. Это банковская вредоносная программа, предназначенную для кражи учетных данных и другой частной информации от пользователей целевых финансовых учреждений. Она также может похищать пароли и файлы cookie, хранящиеся в веб-браузерах жертвы. Используя украденную информацию, вредоносное ПО может позволить злоумышленникам подключиться к системе жертвы и совершать нелегальные финансовые операции с устройства банковского пользователя.
Исследователи Check Point отмечают рост числа мошеннических тем в Соединенных Штатах. За последние два месяца число вредоносных файлов, имитирующих CV, удвоилось. В целом, 1 из 450 идентифицированных вредоносных файлов был связан с CV.
Вредоносные вложения так же используют названия с медицинскими больничными документами
Кроме того, исследователи Check Point обнаружили вредоносные медицинские формы отпусков. Документы, которые используют такие названия, как «COVID -19 FLMA CENTER.doc», заражают жертв вредоносным ПО IcedID, банковским вредоносным ПО, предназначенным для банков, поставщиков платежных карт, поставщиков мобильных услуг, а также интернет-магазинов.
Вредоносное ПО направлено на то, чтобы заставить пользователей оставлять свои учетные данные на поддельной странице. Затем эти сведения отправляются на сервер злоумышленника в дополнение к сведениям об авторизации, которые можно использовать для взлома учетных записей пользователей.
Документы отправлялись по электронной почте с темами: «Ниже прикреплена новая форма для запросов сотрудника об отпуске в соответствии с Законом о семейном и медицинском отпуске (FMLA)».
Электронные письма были отправлены из разных доменов отправителей, таких как «medical-center.space», чтобы побудить жертв к открытию вредоносных вложений.
«Безработица растет, и киберпреступники не могут бездействовать в это время, — говорит Омер Дембински, менеджер Check Point по киберисследованиям. –– Они имитируют резюме для получения ценной информации, особенно такой, которая касается денег и банковской деятельности. Я настоятельно призываю всех, кто открывает электронное письмо с резюме, подумать дважды. Вы можете сильно пожалеть об этом».
Интересная статистика
- В мае 2020 года было зарегистрировано 250 новых доменов, содержащих слово “employment” –– занятость. 7% этих доменов были вредоносными и еще 9% подозрительными
- 1 из каждых 450 обнаруженных вредоносных файлов –– мошенничество с использованием CV: это вдвое больше, чем за последние два месяца
- Общее количество вредоносных атак увеличилось на 16% по сравнению с периодом с марта по апрель, когда был разгар пандемии.
- В мае 2020 года эксперты Check Point еженедельно отмечали в среднем более 158 000 атак, связанных с коронавирусом. По сравнению с апрелем это снижение на 7%.
- За последние 4 недели было зарегистрировано 10 704 новых домена, связанных с коронавирусом. 2,5% из них были вредоносными (256 доменов) и еще 16% (1744 доменов) подозрительными
Как оставаться в безопасности
- Следите за похожими доменами. Следите за орфографическими ошибками в электронных письмах и на веб-сайтах.
- Будьте аккуратнее с неизвестными отправителями. Будьте осторожны с файлами, полученными по электронной почте от неизвестных отправителей, особенно если они запрашивают определенное действие, которое вы обычно не делаете.
- Используйте достоверные источники. Убедитесь, что вы заказываете товары из подлинного источника: лучше всего не нажимать на рекламные ссылки в электронных письмах, а самим найти нужного вам продавца в Google, и кликнуть по ссылке на странице результатов Google.
- Остерегайтесь «специальных» предложений. «Лекарство от коронавируса за 150 долларов» –– если вам предлагают подобное, вряд ли это заслуживает доверия. На данный момент лекарство от коронавируса не существует, и даже если бы оно было, оно точно не было бы предложено вам по электронной почте.
- Не используйте один и тот же пароль несколько раз. Убедитесь, что вы используете индивидуальный пароль для каждого приложения и для каждой учетной записи.