Эксперт Дмитриева: «безобидный» PDF-документ может оказаться инструментом кражи денег

Злоумышленники распространяют через репозиторий NPM вредоносные пакеты, нацеленные на кражу криптовалюты из кошельков Atomic и Exodus. Вредоносный код внедряется в PDF-документы, которые при открытии запускают опасные скрипты. Инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева предупреждает: внедрение вредоносного кода в документы формата PDF — это популярный вектор заражения устройств пользователей.

«Вредоносный код внедряется в PDF-документы, запускающие при открытии скрипты, которые сканируют систему на наличие криптокошельков и крадут данные. Один из сценариев атаки — фишинговое письмо со счётом за "обновление безопасности" кошелька. При открытии PDF-файла запускается скрипт, который ищет файлы кошельков и отправляет их злоумышленникам», — сказала эксперт.

Ирина Дмитриева отмечает, что удобство интеграции вредоносов основано на потенциале выполнения скриптов, встраивания исполняемых объектов и ссылок, который лежит в основе PDF-файлов. Эксплуатация уязвимости может позволить загрузить на устройство троян или кейлоггер, которые перехватывают файлы криптокошельков, пароли и seed-фразы.

«Для ограничения фишинговых вложений на периметре сети важно внедрить многоуровневую фильтрацию входящей почты с использованием эвристического анализа, сигнатур угроз и инструментов детектирования аномалий. Для нейтрализации атак на корпоративные хосты можно интегрировать корпоративный GSOC компании "Газинформсервис", который обеспечивает круглосуточный мониторинг, корреляцию событий и оперативное реагирование на инциденты. Дополнить эшелоны защиты поможет автоматизированный инцидент-менеджмент, синхронизирующий данные с SIEM-системами и применяющий сценарии превентивного блокирования угроз в режиме реального времени», — поясняет эксперт.