Как рассказали эксперты, таким образом киберпреступники пытаются выманить логины и пароли от корпоративных почтовых аккаунтов. Особенность этой кампании в том, что индивидуализируют в ней не только тексты писем, но и вложения.
В обнаруженных рассылках к получателю обращаются по имени как в самом письме, так и во вложенном файле, с которым предлагается ознакомиться потенциальной жертве. Документ якобы содержит информацию о протоколах удалённой работы, стандартах безопасности и доступных льготах для сотрудников. Чтобы усыпить бдительность адресатов, злоумышленники добавляют в тело письма поддельную отметку «проверенный отправитель». Однако всё сообщение — это не текст, а изображение. Такой приём атакующие используют в попытках обходить почтовые фильтры.
В «Лаборатории» рассказали:
В реальности во вложенном файле под названием «Руководство для сотрудников» нет обещанной информации — только титульная страница, содержание и раздел с QR-кодом, который якобы ведёт на полную версию инструкции. В руководство добавлены фразы, призванные убедить пользователя, что этот документ — точно для него.
Если жертва отсканирует QR-код и перейдёт по ссылке, она попадёт на поддельную страницу, имитирующую форму авторизации в сервисах Microsoft, где её попросят ввести логин и пароль от корпоративной почты. Таким образом злоумышленники пытаются выманить эти данные.