Хакери використовують російські домени для здійснення комплексних фішингових атак

У середньому принаймні один зловмисний електронний лист обходить захищені шлюзи електронної пошти (SEG), такі як Microsoft і Proofpoint, кожні 45 секунд, у порівняні з попереднім 2023 роком, коли це ставалося кожні 57 секунд. Про це йдеться у звіті про тенденції фішингових загроз за третій квартал The Cofense Phishing Defense Center, повідомив Techradar.

«Ми спостерігаємо, що зловмисні листи обходять периметр захисту електронної пошти із загрозливою швидкістю, що є чітким свідченням того, що щловмисники провадять інноваційні фішингові кампанії швидше, ніж технології можуть їх зупинити», — прокоментував віце-президент Global Threat Services Cofense Джош Бартоломі. — «Настав час організаціям переглянути свій підхід до безпеки електронної пошти. Зосередьтеся на рішеннях, які поєднують технологію та людський досвід, використовуючи дані про загрози в реальному часі для ефективної боротьби з новими ризиками».

У звіті також відзначене стрімке зростання використання троянів віддаленого доступу (RAT), які дозволяють зловмисникам отримати несанкціонований доступ до системи жертви, що часто призводить до крадіжки даних або подальшого використання.

Шкідливе програмне забезпечення Remcos RAT, широко використовуваний інструмент серед кіберзлочинців, є основним винуватцем зростання атак цього типу. Його використання забезпечує можливість дистанційного керування зараженими системами, що дозволяє зловмисникам викрадати дані, розгортати додаткові шкідливі програми та отримувати постійний доступ до скомпрометованих мереж.

Відкрите перенаправлення як метод у фішингових кампаніях також набув популярності серед кіберзлочинців, у звіті зафіксоване збільшення його використання на 627%, у порівнянні із попереднім кварталом. Ці атаки використовують функції справжніх веб-сайтів для перенаправлення користувачів на шкідливі URL-адреси, часто маскуючи загрозу за добре відомими та надійними доменами.

TikTok і мобільна версія Google часто використовуються для здійснення цих атак, використовуючи переваги їх глобального охоплення.

«TikTok.com став головним доменом, який використовувався для фішингу облікових даних, піднявшись із-за меж топ-100 до 5-го найпоширенішого домену верхнього рівня», — зазначено у звіті.

Використання шкідливих документів Office, особливо у форматі .docx, різко зросло майже на 600%. Ці документи часто містять фішингові посилання або QR-коди, які спрямовують жертв на шкідливі веб-сайти.

Документи Microsoft Office залишаються популярним вектором атак через їх широке використання в бізнес-середовищі, що робить їх ідеальними для націлювання на організації за допомогою фішингових кампаній.

Крім того, відбулися значні зміни в тактиці викрадання даних із збільшенням використання доменів верхнього рівня .ru і .su. Зафіксовані стрибки у використання доменів з розширеннями .ru (Росія) і .su (Радянський Союз) у більш ніж чотири та дванадцять разів відповідно. Це вказує на те, що кіберзлочинці звертаються до менш поширених і географічно пов’язаних доменів, щоб уникнути виявлення та ускладнити жертвам можливість відстежити крадіжку даних.

Фото: умовне / Getty Images