Злоумышленники использовали новый стилер NOVA — модификацию известного SnakeLogger. Полученные аутентификационные данные другие кластеры могут задействовать в своих целевых атаках на скомпрометированные компании.
В январе 2025 года специалисты BI.ZONE зафиксировали многочисленные атаки, нацеленные на российские организации разных отраслей, включая финансовый сектор, ритейл, IT, госсектор, транспорт и логистику.
Злоумышленники похищают аутентификационные данные для дальнейшей продажи на теневых ресурсах. В атаках используется коммерческий стилер NOVA — видоизмененная версия популярного SnakeLogger.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence:
| Злоумышленники часто создают копии известных ВПО и меняют их характеристики, чтобы обойти современные средства защиты. Так случилось и с популярным SnakeLogger, который применяется в 23% атак с использованием стилеров. Злоумышленники модифицировали его и создали форк NOVA. Новый инструмент несколько отличается от предшественника: за счет оптимизации кода и обновления архитектуры NOVA сложнее распознать привычными средствами обнаружения. |
Атакующие доставляют стилер с помощью фишинговых писем, распространяя ВПО под видом архива с договорами. Обычно в таких случаях используют двойное расширение и привычные для пользователя иконки, например изображение Word или PDF. Это позволяет скрыть от жертвы, что файл исполняемый.
Злоумышленники не маскируют вложение с NOVA под легитимный документ. Они лишь присваивают файлу допустимое имя (Договор.exe). То есть делают ставку не на тщательную маскировку фишинга, а на массовость рассылок и невнимательность сотрудников, которые регулярно взаимодействуют с большим количеством электронных писем.
После распаковки и закрепления в системе стилер собирает сохраненные аутентификационные данные, записывает нажатия клавиш, делает снимки экрана и извлекает данные из буфера обмена.
Стилер NOVA появился в продаже в Telegram в августе 2024 года по цене 50 долларов за месяц использования или 630 долларов за бессрочную лицензию. Вдобавок разработчик предлагает криптор, который защищает ВПО от обнаружения. Его цена стартует от 60 долларов за месяц и доходит до 150 долларов за три месяца применения.
Для защиты от стилеров рекомендуется использовать системы класса privileged access management (управление привилегированным доступом), например BI.ZONE PAM. Они поддерживают одноразовые пароли и позволяют настроить ротацию секретов для подключения к критическим элементам IT-инфраструктуры.
Для отслеживания на теневых ресурсах скомпрометированных корпоративных учетных записей помогут порталы киберразведки такие, как BI.ZONE Threat Intelligence. На нем собраны данные о скомпрометированных учетных записях по интересующему email-адресу, почтовому домену, а также по конкретному URL-адресу ресурса.
