Специалисты BI.ZONE зафиксировали активное использование стилера NOVA* (модификация широко известного SnakeLogger). Вредонос похищает аутентификационные данные, которые далее могут быть использованы другими киберпреступными группировками для целевых атак на скомпрометированные организации.
Распространение стилера осуществляется через фишинговые письма, содержащие архивы с вредоносными исполняемыми файлами, замаскированными под документы. Вложения имеют двойное расширение и знакомые пользователям иконки, такие как Word или PDF. Важно отметить, что злоумышленники не маскируют вложение с NOVA под легитимный документ, а просто присваивают файлу допустимое имя, например 'Договор.exe', и делают ставку на массовую рассылку и невнимательность сотрудников, работающих с большим количеством электронных писем. Новый инструмент отличается оптимизированным кодом и обновлённой архитектурой, что затрудняет его обнаружение традиционными средствами защиты.
«Вредоносные действия стилера NOVA, такие как захват ввода с клавиатуры или нелегитимные снимки экрана, специалисты коммерческих SOC способны моментально выявлять и пресекать. Однако в приоритете — среагировать на этапе получения фишингового письма с таким вложением. Любое вредоносное программное обеспечение, включаяSnakeLogger, неизбежно будет модифицироваться, но его методы распространения останутся прежними. И, например, специалисты GSOC успеют принять меры по реагированию, предотвратив компрометацию данных», — говорит киберэксперт компании «Газинформсервис» Спицын Михаил.
*NOVA фиксирует и передает атакующим сохранённые аутентификационные данные, перехватывает нажатия клавиш, делает скриншоты и извлекает информацию из буфера обмена. Этот инструмент впервые появился в продаже в Telegram в августе 2024 года. Его стоимость составляет 50 долларов за месяц использования или 630 долларов за бессрочную лицензию.
