Кибератаки провалились из-за грубой ошибки хакеров

Группировка Scaly Wolf попыталась использовать новый инструмент, чтобы эффективнее внедрять в инфраструктуру организаций стилер White Snake – вредоносное ПО для кражи данных. Но вместо стилера на скомпрометированные устройства устанавливался легитимный файл, не причинявший никакого ущерба.

Группировка Scaly Wolf, ранее неоднократно атаковавшая организации России и Беларуси, снова активизировалась в конце марта 2024 года. Злоумышленники провели с разных email-адресов не менее 6 фишинговых рассылок, нацеленных на промышленные и логистические компании, а также государственные организации.

Хакеры планировали получить доступ к корпоративным данным с помощью стилера White Snake, который использовали в прежних кампаниях. Это вредоносное ПО позволяет собирать сохраненные в браузере логины и пароли, записывать нажатия клавиш, копировать документы с зараженного компьютера, получать к нему удаленный доступ и много другое.

Группировка действовала по привычной схеме, маскируя фишинг под официальные письма от федеральных ведомств. По плану, получив «уведомление от регулятора», жертва должна была открыть приложенный ZIP-архив. Раньше Scaly Wolf просто помещала стилер в архив, но теперь злоумышленники пошли более сложным и, как им казалось, более надежным путем — воспользовались вредоносным загрузчиком. При открытии архива он должен был внедриться в приложение «Проводник» и установить последнюю версию White Snake.

Как рассказал PRO Шеринг руководитель BI.ZONE Threat Intelligence Олег Скулкин, злоумышленники обновили способ доставки стилера в целевые системы, чтобы эффективнее обходить средства защиты, но сделали это в спешке.

Вместо ВПО White Snake в систему копируется легитимный файл explorer.exe — «Проводник». То есть даже в случае успешной атаки преступники не достигали главной цели: не получали доступ к чувствительным данным и скомпрометированной системе

Фото: Adobe Stocke