Группировка Scaly Wolf попыталась использовать новый инструмент, чтобы эффективнее внедрять в инфраструктуру организаций стилер White Snake – вредоносное ПО для кражи данных.
Но вместо стилера на скомпрометированные устройства устанавливался легитимный файл, не причинявший никакого ущерба.
Группировка Scaly Wolf, ранее неоднократно атаковавшая организации России и Беларуси, снова активизировалась в конце марта 2024 года. Злоумышленники провели с разных email-адресов не менее 6 фишинговых рассылок, нацеленных на промышленные и логистические компании, а также государственные организации.
Злоумышленники планировали получить доступ к корпоративным данным с помощью стилера White Snake, который использовали в прежних кампаниях. Это вредоносное ПО позволяет собирать сохраненные в браузере логины и пароли, записывать нажатия клавиш, копировать документы с зараженного компьютера, получать к нему удаленный доступ и т. д.
Группировка действовала по привычной схеме, маскируя фишинг под официальные письма от федеральных ведомств. По плану, получив «уведомление от регулятора», жертва должна была открыть приложенный ZIP-архив. Раньше Scaly Wolf просто помещала стилер в архив, но теперь злоумышленники пошли более сложным и, как им казалось, более надежным путем — воспользовались вредоносным загрузчиком. При открытии архива он должен был внедриться в приложение «Проводник» и установить последнюю версию White Snake.
В ходе неудавшейся кампании Scaly Wolf использовали последнюю версию White Snake, которая появилась в продаже на теневых ресурсах только в конце марта. Тогда же разработчики объявили «весенние скидки»: приобрести доступ к программе на полгода можно было за 500 долларов вместо 590, на год — за 800 вместо 1100, бессрочно — за 1000 вместо 1950.
Ранее разработчики стилера говорили, что один из покупателей якобы модифицировал их вредоносное ПО и сумел обойти запрет на атаки в России и странах СНГ. Об этом они заявили в августе 2023 года после публикации исследования BI.ZONE о применении White Snake в атаках на российские компании. Вероятнее всего, подобным заявлением разработчики хотели избежать блокировки на популярных теневых ресурсах. В последней версии стилера модуль, блокирующий применение программы на территории России и других стран СНГ, отсутствует.
Чтобы выявить методы закрепления на конечных точках IT-инфраструктуры, которые применяет Scaly Wolf, необходимо использовать решения класса endpoint detection and response. А обеспечить эффективную работу средств защиты информации, ускорить реагирование на инциденты и защититься от наиболее критических для компании угроз можно с помощью данных об актуальных изменениях киберландшафта, которые предоставляют платформы Threat Intelligence.
Но вместо стилера на скомпрометированные устройства устанавливался легитимный файл, не причинявший никакого ущерба.
Группировка Scaly Wolf, ранее неоднократно атаковавшая организации России и Беларуси, снова активизировалась в конце марта 2024 года. Злоумышленники провели с разных email-адресов не менее 6 фишинговых рассылок, нацеленных на промышленные и логистические компании, а также государственные организации.
Злоумышленники планировали получить доступ к корпоративным данным с помощью стилера White Snake, который использовали в прежних кампаниях. Это вредоносное ПО позволяет собирать сохраненные в браузере логины и пароли, записывать нажатия клавиш, копировать документы с зараженного компьютера, получать к нему удаленный доступ и т. д.
Группировка действовала по привычной схеме, маскируя фишинг под официальные письма от федеральных ведомств. По плану, получив «уведомление от регулятора», жертва должна была открыть приложенный ZIP-архив. Раньше Scaly Wolf просто помещала стилер в архив, но теперь злоумышленники пошли более сложным и, как им казалось, более надежным путем — воспользовались вредоносным загрузчиком. При открытии архива он должен был внедриться в приложение «Проводник» и установить последнюю версию White Snake.
В ходе неудавшейся кампании Scaly Wolf использовали последнюю версию White Snake, которая появилась в продаже на теневых ресурсах только в конце марта. Тогда же разработчики объявили «весенние скидки»: приобрести доступ к программе на полгода можно было за 500 долларов вместо 590, на год — за 800 вместо 1100, бессрочно — за 1000 вместо 1950.
Ранее разработчики стилера говорили, что один из покупателей якобы модифицировал их вредоносное ПО и сумел обойти запрет на атаки в России и странах СНГ. Об этом они заявили в августе 2023 года после публикации исследования BI.ZONE о применении White Snake в атаках на российские компании. Вероятнее всего, подобным заявлением разработчики хотели избежать блокировки на популярных теневых ресурсах. В последней версии стилера модуль, блокирующий применение программы на территории России и других стран СНГ, отсутствует.
Чтобы выявить методы закрепления на конечных точках IT-инфраструктуры, которые применяет Scaly Wolf, необходимо использовать решения класса endpoint detection and response. А обеспечить эффективную работу средств защиты информации, ускорить реагирование на инциденты и защититься от наиболее критических для компании угроз можно с помощью данных об актуальных изменениях киберландшафта, которые предоставляют платформы Threat Intelligence.
