Эксперты «Лаборатории Касперского» рассказали об обнаруженной новой волне атак на корпоративных пользователей, в том числе в российских организациях. Сообщения якобы приходят от людей, с которыми получатели уже вели деловую переписку.

Волна началась в десятых числах мая, пик атаки пришёлся на период с 15 по 18 мая. За несколько дней эксперты зарегистрировали почти 5 тысяч подобных писем.

Злоумышленники вклиниваются в уже существующий диалог. Тема письма указывает, что внутри может находиться в том числе запись аудиоконференции, информация о встрече или детали по реальному проекту. Во всех этих письмах содержится ссылка, за которой скрывается вредоносное ПО. Если получатель переходит по ней, на устройство загружается троян-загрузчик PikaBot.

По словам экспертов, PikaBot — новое семейство зловредов. На сегодняшний день оно применяется в основном для скрытой установки других вредоносных семейств, а также для исполнения произвольного кода командной строки, полученной с удалённого сервера. 

Исследователь угроз «Лаборатории Касперского» Артем Ушков рассказал:

Семейство PikaBot умеет проверять языковые настройки целевой системы. Злоумышленников интересуют русский, белорусский, таджикский, словенский, грузинский, казахский, узбекский. Если зловред „видит” эти языки, то атака прекращается. Может показаться, что PikaBot пока не представляет серьёзной угрозы для российских пользователей, однако в России уже было зафиксировано существенное количество атак и ситуация может измениться в любой момент, так как вместо PikaBot может быть загружен более деструктивный вредоносный файл.