Специалисты BI.ZONE обнаружили новую хакерскую группировку Fluffy Wolf. По словам экспертов по кибербезопасности, хакерская группировка активна минимум с 2022 года и инициировала 140 атак на российские компании. У Fluffy Wolf невысокий уровень технической подготовки, но для атак они используют два средства: легитимные инструменты для удалённого доступа и коммерческое вредоносное ПО (ВПО). Первоначальный доступ к инфраструктуре киберпреступники получают через рассылку фишинговых писем с вложениями, замаскированных под акты сверки. В одной из последних кампаний злоумышленники от имени строительной организации рассылали фишинговые письма с темой «Акты на подпись». К письму прилагался архив, в его названии был пароль от архива, а внутри находился вредоносный файл под видом документа. При открытии архива на устройство устанавливались две программы. Первая представляла собой ВПО Meta Stealer, предназначенное для кражи данных. Вторая программа — это легитимное средство удалённого доступа Remote Utilities. Meta Stealer — это клон стилера RedLine, позволяющий собирать разные виды информации, включая учётные данные и cookie из различных браузеров, данные из бесплатной программы для подключения к FTP‑серверу FileZilla, криптокошельков и VPN‑клиентов. В отличие от RedLine, разработчики Meta Stealer не запрещают использовать его в атаках на организации из России и других стран СНГ. Как рассказал руководитель BI.ZONE Threat Intelligence Олег Скулкин, аренда стилер Meta Stealer на месяц стоит $150, а приобрести постоянную лицензию можно за $1 тысячу. Стоимость лицензий на легитимное ПО Remote Utilities варьируется от $29 до $12 тысяч долларов и есть возможность использования бесплатной базовой версией. Всё это делает себестоимость атаки низкой. Fluffy Wolf также применяла другие вредоносные программы, включая платный троян удалённого доступа WarZone RAT. Этот троян позволял злоумышленникам получить контроль над компьютером жертвы. В некоторых случаях преступники устанавливали на скомпрометированные устройства майнер XMRig. 01.03.2024 https://habr.com/ru/news/797497/
