Эксперты из компании BI.ZONE рассказали об инфолстилере White Snake. Вредонос использует хакерская группировка Scaly Wolf. Как рассказали специалисты BI.ZONE, разработчик инфостилера запретил его использование на территории СНГ, но Scaly Wolf обошла запрет.
Scaly Wolf активна с начала лета 2023 года и инициировала 10 вредоносных кампаний. Хакеры крадут корпоративными данными, выбирая в качестве целей промышленные и логистические компании из России. Последняя атака была инициирована в январе 2024 года.
Атаки начинаются с рассылки фишинговых писем, замаскированных под документы от государственных органов, например Роскомнадзора, Следственного комитета РФ, Военной прокуратуры РФ или судебные постановления и другие предписания регуляторов. В некоторых случаях письма были замаскированы под коммерческое предложение.
Отличительная черта атак от Scaly Wolf — это высокий уровень юридической грамотности составленных писем и поддельных документов. Во всех случаях текст писем выглядит убедительно и вызывает доверие у пользователей. Поэтому жертвы следуют инструкциям из письма и файла из приложенного архива. После проделанных действий запускается стилер White Snake, получающий доступ к нескольким корпоративным ресурсам, например, электронной почте и CRM‑системе.
Далее стилер собирает аутентификационные данные, сохранённые в браузере логины и пароли, записывает нажатия клавиш, копирует файлы с заражённого компьютера и обеспечивает удалённый доступ к нему. Вредонос интегрирован с telegram‑ботом, где злоумышленники получают оповещения о новых заражённых устройствах.
По словам руководителя BI.ZONE Threat Intelligence Олега Скулкина, White Snake привлекает киберпреступников низкой стоимостью подписки ($140 в месяц), простотой в использовании и широкой функциональностью. Запрет на использование на территории СНГ Scaly Wolf обошла, отключив функцию, прекращающую работу программы, если её запускали на устройстве с IP‑адресом из «запрещённых» регионов. Самой вероятной мотивацией Scaly Wolf ИБ‑специалисты называют выкуп украденных данных или перепродажа в дарквебе.
