Positive Technologies предупреждает о росте числа кибератак через поддельную CAPTCHA

Positive Technologies проанализировала киберугрозы за IV квартал 2024 года. По данным исследования, общее число киберинцидентов выросло на 13% по сравнению с аналогичным периодом 2023 года. Результатом более чем половины кибератак на организации стало раскрытие конфиденциальной информации; около трети инцидентов привели к нарушению основной деятельности компаний. Атаки на частных лиц по большей части приводили к финансовым потерям.

Согласно аналитике Positive Technologies, половина кибератак, ориентированных на организации, была совершена с помощью методов социальной инженерии. Самым популярным способом проникновения злоумышленников в компании остается электронная почта (84%). За рассматриваемый период злоумышленники чаще всего использовали против организаций шифровальщики (42%), вредоносное ПО для удаленного управления (38%) и шпионское ПО (20%), в том числе предназначенное для кражи данных. Так, в середине ноября специалисты экспертного центра безопасности PT Expert Security Center (PT ESC) зафиксировали кампанию по распространению Lumma Stealer и NetSupport RAT: сотрудники российских организаций получали фишинговые письма с вложенными файлами форматов LNK и DOCX, при открытии которых происходила загрузка ВПО.

В успешных атаках на организации злоумышленники также использовали новые мошеннические схемы и техники доставки ВПО. По данным исследования Positive Technologies, одна из новых схем — письма о фейковом увольнении с вредоносным вложением, содержащим предположительно банковский троян; этот метод говорит о финансовой мотивации злоумышленников. Другая новая тактика — доставка вредоносной нагрузки с помощью намеренно поврежденных документов Microsoft Office, которые не обнаруживаются средствами защиты. В зараженных файлах находится QR-код, который ведет на мошеннические сайты для установки ВПО или кражи учетных данных. Эксперты предполагают, что такая техника повреждения документов может быть взята на вооружение и другими злоумышленниками.

Социальная инженерия применялась и против частных лиц — в 88% случаев, а основными каналами злоумышленников стали сайты (44%), соцсети (22%) и мессенджеры (18%). Для совершения атак злоумышленники часто применяли утекшие персональные данные и взломанные аккаунты и создавали на их основе дипфейки. Кроме того, частные лица массово становились жертвами инфостилеров*: злоумышленники размещали на вредоносных сайтах поддельную CAPTCHA, и после ее прохождения жертве предлагалось вставить данные из буфера обмена в командную строку, — это активировало загрузку и установку вредоноса на устройство.

Анна Голушко

Старший аналитик исследовательской группы Positive Technologies

Настоящие проверки CAPTCHA никогда не требуют ввода команд в операционной системе и в пределах непосредственно веб-страницы. Существующие методы антибот-проверок предполагают только упорядочивание фигур, повторение буквенно-числовой последовательности или проставление галочки в окне „Подтвердить, что я человек“. Кроме того, настоящая CAPTCHA обычно не запрашивает логины, пароли, номера карт или другие сведения. Если после выполнения CAPTCHA пользователя просят ввести конфиденциальные данные — это сигнал, что нужно проявить осторожность.

Отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на экспертизе компании Positive Technologies, результатах расследований, проводимых PT Expert Security Center, а также на данных авторитетных источников.

*Инфостилер — это троян, предназначенный для сбора информации из системы жертвы.

Источник: Positive Technologies