Корпорация Symantec сообщает о серии атак с активным использованием методов социальной инженерии, направленных на базирующиеся во Франции компании.
Атаки, помимо отправки обманных сообщений электронной почты и инфицирования компьютеров, включали в себя различного рода звонки жертвам по телефону, используя методы агрессивной социальной инженерии. Интересно, что сервер управления, с которым связывалась троянская программа удалённого доступа (RAT), находился на территории Украины.
В апреле 2013 года секретарь-референт вице-президента одной международной компании, головной офис которой расположен во Франции, получил электронное письмо со ссылкой на инвойс, размещённый на популярном файлообменнике. Через несколько минут другому такому же секретарю позвонил другой вице-президент той же компании и попросил просмотреть и обработать данный инвойс. Он говорил повелительным тоном и на идеальном французском. Однако инвойс оказался подделкой, а звонивший вице-президент – злоумышленником.
В действительности инвойс являлся троянской программой удалённого доступа (remote access Trojan, далее – RAT), сконфигурированной для взаимодействия с сервером управления, находившемся на территории Украины. Используя RAT, злоумышленник мгновенно получал контроль над заражённым компьютером секретаря-референта: осуществлял перехват и запись ввода с клавиатуры, вёл наблюдение за рабочим столом, просматривал и незаметно скачивал файлы.
Подобная тактика – электронное письмо, за которым следует звонок человека, выдающего себя за кого-то ещё, – крайне необычный случай и пример агрессивного социального инжиниринга. В мае 2013 года сотрудники группы Symantec Security Response в подробностях описали ход первой подобной атаки, целью которой являлись европейские компании. Дальнейшее расследование позволило выяснить дополнительные подробности стратегии этих финансово мотивированных атак, продолжающихся и поныне.
