«Вредоносный код внедряется в PDF-документы, запускающие при открытии скрипты, которые сканируют систему на наличие криптокошельков и крадут данные. Один из сценариев атаки — фишинговое письмо со счётом за "обновление безопасности" кошелька. При открытии PDF-файла запускается скрипт, который ищет файлы кошельков и отправляет их злоумышленникам», — сказала эксперт.
Ирина Дмитриева отмечает, что удобство интеграции вредоносов основано на потенциале выполнения скриптов, встраивания исполняемых объектов и ссылок, который лежит в основе PDF-файлов. Эксплуатация уязвимости может позволить загрузить на устройство троян или кейлоггер, которые перехватывают файлы криптокошельков, пароли и seed-фразы.
«Для ограничения фишинговых вложений на периметре сети важно внедрить многоуровневую фильтрацию входящей почты с использованием эвристического анализа, сигнатур угроз и инструментов детектирования аномалий. Для нейтрализации атак на корпоративные хосты можно интегрировать корпоративный GSOC компании "Газинформсервис", который обеспечивает круглосуточный мониторинг, корреляцию событий и оперативное реагирование на инциденты. Дополнить эшелоны защиты поможет автоматизированный инцидент-менеджмент, синхронизирующий данные с SIEM-системами и применяющий сценарии превентивного блокирования угроз в режиме реального времени», — поясняет эксперт.
