Фрилансеры вопасности
Пользователи таких сайтов для фрилансеров как Fiverr и Freelancer рискуютпасть жертвами злоумышленников, распространяющих кейлоггеры типа Agent Tesla иинструменты удаленного администрирования (RAT) под видом предложений о работе.
Принцип действия злоумышленников очень прост: пользователям,зарегистрированным на сайтах для фрилансеров, рассылаются сообщения сприглашением обсудить возможность сотрудничества. Во вложении — файл в форматеWord, якобы содержащий описание задач, которые потенциальный работник долженбудет выполнить.
Такие описания действительно часто рассылаются в видевложений с расширением .doc, так что в данном случае злоумышленнику былонесложно обмануть соискателей.
Как сообщили эксперты MalwareHunterTeam, злоумышленники не только рассылали вредоносныедокументы, но и консультировали потенциальных жертв на тему того, как ихоткрывать.
Судя по всему, масштабы атаки сейчас не очень велики:сообщается о нескольких десятках жертв, получивших сообщения с вредоноснымвложением. Судя по всему, атака производится как минимум отчасти вручную.
Устаревший, но вечноживой
Внимание привлекает тот факт, что злоумышленники использовалидавно устаревший, но все еще используемый формат .doc, а не .docx — стандартноерасширение для документов Microsoft Word с 2007 г. Формат .doc, тем не менее,открывается большинством версий Microsoft Word для PC.
«Сценарий заражения, описанный MalwareHunterTeam,реалистичен при условии, что пользователь активировал макросы по подсказке злоумышленникаили самостоятельно и не использует адекватного антивируса, — считает Олег Галушкин, директор поинформационной безопасности компании SEC Consult Services. — Расчетзлоумышленников в том, что касается применения социальной инженерии, оказалсяверен: посетителей фрилансерских сайтов оказалось довольно просто убедитьоткрывать .doc-файлы, хотя само это расширение должно бы вызывать подозрения. Авот как люди, работающие через Сеть, могут не пользоваться антивирусами и незнать про угрозу со стороны макросов — это загадка».