Хакеры подделывают NDA, чтобы атаковать американские компании

Хакеры начали использовать необычную схему атак на промышленные предприятия и корпорации США: они рассылают поддельные соглашения о неразглашении (NDA), чтобы заразить компьютеры вредоносным ПО. Исследователи из компании Check Point рассказали, как киберпреступники выдают себя за легитимные американские компании и ищут себе в «партнеры» или «поставщики». Для убедительности злоумышленники нередко покупают заброшенные интернет-домены с деловой историей, чтобы визитка выглядела максимально правдоподобно.

Вместо типичного фишинга через e-mail жертву сначала ловят через форму обратной связи или другие контакты на сайте компании. Ответ приходит уже на электронную почту, запускается долгий и муторный обмен сообщениями — иногда неделями. Мошенники так выстраивают доверие, чтобы на финальном этапе прислать архив, якобы с NDA для подписи.

Внутри архива — замануха в виде настоящих PDF и DOCX документов, но где-то затесан вредоносный файл .lnk, запускающий через PowerShell установку «трояна» MixShell. Это программа-шпион с хитрым каналом передачи команд через доменные имена (DNS), её сложно обнаружить и удалить.

Судя по исследованию, основной целью стали США (около 80% всех эпизодов). Но жертв есть немало и в Сингапуре, Японии и Швейцарии — в основном это промышленное производство, электроника, товары широкого потребления, а также фармацевтика и биотехнологии. Преступников пока не удалось точно опознать, но имеются намёки на их связь с группой UNK_GreenSec и кампанией TransferLoader.

Check Point отмечает, что кибероперация нацелена не на конкретную отрасль, а на «богатые» и критически важные звенья промышленной цепочки. Объем атак держится в пределах нескольких десятков компаний. Как всегда, действуют настойчиво и весьма убедительно, на этот раз — в обёртке деловой этики.