Fałszywe dokumenty biznesowe z malware

TL;DR

CERT Polska opisał kilka kampanii, które wykorzystują zwykły język pracy biurowej: podpis i pieczęć, potwierdzenie wpłaty, rozliczenia płatności oraz pilną weryfikację dokumentów. Wspólny mechanizm jest prosty. Wiadomość ma wyglądać jak normalna korespondencja biznesowa, a załącznik ma zostać otwarty bez dodatkowych pytań.

Ryzyko nie kończy się na kliknięciu. W opisanych wariantach załącznik może zawierać złośliwe oprogramowanie, w tym AgentTesla, czyli malware służące do kradzieży danych, loginów, haseł oraz informacji zapisanych w przeglądarkach i klientach poczty.

Dla firm to jeden z najważniejszych scenariuszy awareness. Fałszywy dokument biznesowy nie musi wyglądać jak atak. Może wyglądać jak faktura, potwierdzenie przelewu, prośba od kontrahenta, dokument do podpisu albo wiadomość od firmy produkcyjnej. Najważniejsze pytanie brzmi nie czy dokument wygląda profesjonalnie, tylko czy jest oczekiwany, zweryfikowany i bezpieczny do otwarcia.

Dokument jest idealną przynętą w firmie

W firmach dokumenty krążą cały czas. Faktury, potwierdzenia wpłat, zamówienia, oferty, specyfikacje, korekty, dokumenty przewozowe, skany, formularze i załączniki do podpisu są częścią codziennej pracy. Dlatego przestępcy nie muszą wymyślać egzotycznych historii. Wystarczy podszyć się pod proces, który już istnieje.

W kampanii opisywanej przez CERT Polska pojawia się prośba o podpisanie i opieczętowanie dokumentu. To bardzo silna przynęta w organizacjach, w których dokumenty formalne nadal są elementem obiegu. W innym wariancie wiadomość udaje potwierdzenie wpłaty z wykorzystaniem wizerunku banku. Kolejny wariant podszywa się pod firmy z sektora produkcji i odnosi się do rozliczeń oraz pilnej weryfikacji dokumentów.

Każdy z tych przykładów wykorzystuje ten sam moment decyzyjny. Odbiorca chce dokończyć zadanie. Ma podpisać, sprawdzić, potwierdzić, rozliczyć albo przesłać dokument dalej. Jeśli działa w pośpiechu, może potraktować załącznik jako element procesu, a nie jako potencjalny nośnik malware.

W praktyce taki atak jest jednocześnie phishingiem i próbą infekcji. Podszycie ma skłonić użytkownika do zaufania wiadomości, a załącznik ma uruchomić techniczny etap ataku.

Załącznik nie musi być dokumentem

Jednym z najczęstszych błędów użytkowników jest założenie, że nazwa pliku mówi prawdę. Plik nazwany faktura, potwierdzenie, dokument albo skan nie musi być dokumentem. Może być archiwum, obraz dysku, skrypt, instalator albo plik wykonywalny z nazwą przygotowaną tak, aby oszukać wzrok.

CERT Polska zwraca uwagę między innymi na archiwa .tar, .zip, .rar, .7z oraz pliki wykonywalne i skryptowe. W kampanii z podpisem i pieczęcią załącznik .tar zawierał AgentTesla. W kampanii związanej z potwierdzeniem wpłaty załącznik zamiast dokumentu zawierał malware. W kampanii podszywającej się pod firmy produkcyjne załączniki miały umożliwiać kradzież danych, a w niektórych przypadkach nawet przejęcie kontroli nad urządzeniem.

To ważny punkt dla edukacji. Użytkownik nie musi znać wszystkich rozszerzeń plików, ale powinien rozumieć zasadę: dokument finansowy, który przychodzi jako archiwum albo plik wymagający uruchomienia, nie jest zwykłym dokumentem do szybkiego sprawdzenia.

Problem wzmacnia ukrywanie rzeczywistych rozszerzeń. Nazwa w rodzaju faktura.pdf____.exe próbuje wykorzystać to, że użytkownik zobaczy pierwszą część nazwy i zignoruje końcówkę. W systemach, które domyślnie ukrywają rozszerzenia znanych typów plików, ryzyko rośnie.

AgentTesla i kradzież danych po uruchomieniu pliku

AgentTesla to przykład malware, które pokazuje, dlaczego uruchomienie fałszywego dokumentu może być początkiem szerszego incydentu. Celem takiego oprogramowania jest kradzież danych, w tym loginów, haseł oraz informacji zapisanych w przeglądarkach i klientach poczty.

W praktyce oznacza to, że skutki mogą wyjść daleko poza jedną stację roboczą. Jeżeli na komputerze były zapisane hasła, sesje pocztowe, dane do systemów biznesowych, dostęp do CRM, ERP, paneli dostawców lub bankowości firmowej, malware może pomóc przestępcom przygotować kolejne etapy ataku.

Szczególnie niebezpieczna jest kradzież dostępu do poczty. Skrzynka zawiera historię rozmów, faktury, dane kontrahentów, podpisy, wzory komunikacji i wątki rozliczeniowe. Po jej przejęciu atakujący może prowadzić bardziej wiarygodne oszustwa typu Business Email Compromise, czyli podszywanie się pod korespondencję biznesową w celu wyłudzenia płatności lub danych.

Dlatego fałszywy załącznik nie jest tylko problemem antywirusa. To problem tożsamości, płatności, relacji z kontrahentami i reakcji na incydent.

Sektor produkcji jako dobry cel dla podszyć

Komunikat CERT Polska dotyczący firm produkcyjnych dobrze pokazuje, dlaczego przestępcy wybierają określone branże. Produkcja, logistyka, dostawy, płatności i rozliczenia tworzą naturalny przepływ dokumentów. Wiele wiadomości dotyczy zamówień, faktur, terminów, specyfikacji albo potwierdzeń.

W takim środowisku presja pilnej weryfikacji dokumentów może zadziałać bardzo skutecznie. Odbiorca może obawiać się zatrzymania dostawy, opóźnienia płatności, błędu w rozliczeniu albo problemu z klientem. To nie musi być presja emocjonalna. Wystarczy presja operacyjna.

Dodatkowym elementem jest mieszanie prawdziwych i fałszywych danych kontaktowych w podpisie wiadomości. Taki podpis może zawierać realnie istniejącą firmę, prawdziwy adres, znane logo albo poprawny format stopki. Jednocześnie adres e-mail lub numer telefonu może kierować do przestępcy.

Dla użytkownika najważniejsza zasada brzmi: wiarygodny podpis nie wystarcza. Weryfikacja powinna odbywać się kanałem znanym wcześniej, a nie przez dane kontaktowe z podejrzanej wiadomości.

Co powinien zrobić użytkownik przed otwarciem załącznika

Pierwszym krokiem jest pytanie, czy dokument był oczekiwany. Jeśli nie było wcześniejszej rozmowy, zamówienia, sprawy, procesu albo ustaleń, załącznik finansowy powinien zostać zatrzymany do weryfikacji.

Drugim krokiem jest sprawdzenie kanału. Jeżeli wiadomość dotyczy płatności, podpisu, pieczęci, rozliczenia albo pilnej weryfikacji, najlepiej potwierdzić ją przez znany wcześniej kontakt: numer z umowy, adres z systemu CRM, kontakt do opiekuna albo oficjalny kanał kontrahenta. Nie należy odpowiadać na wiadomość i nie należy używać numeru telefonu podanego wyłącznie w tej wiadomości.

Trzecim krokiem jest ocena pliku. Dokument PDF, Word lub Excel też może być ryzykowny, ale archiwum .zip, .rar, .tar, plik .exe, .msi, .bat, .cmd, .scr, .js albo obraz .iso powinien wyraźnie zatrzymać proces. Jeżeli dokument wymaga rozpakowania i uruchomienia pliku, to nie jest zwykła faktura do szybkiego otwarcia.

Czwartym krokiem jest zgłoszenie. W organizacji użytkownik nie powinien sam testować załącznika. Zadaniem użytkownika jest przekazać podejrzaną wiadomość do IT, Security lub SOC zgodnie z procedurą.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik pobrał załącznik, ale go nie otworzył, nie powinien go uruchamiać w celu sprawdzenia. Wiadomość i plik należy przekazać do zespołu bezpieczeństwa, który może ocenić próbkę w kontrolowanym środowisku.

Jeżeli plik został rozpakowany, ale nic nie zostało uruchomione, nadal trzeba zgłosić incydent. Warto ustalić, jakie pliki znalazły się w archiwum, czy system nie wykonał automatycznych akcji i czy podobna wiadomość nie trafiła do innych osób.

Jeżeli plik został uruchomiony, urządzenie należy potraktować jako potencjalnie skompromitowane. Trzeba odłączyć je od sieci zgodnie z procedurą, nie usuwać plików, nie czyścić historii i nie resetować urządzenia bez decyzji IT/Security. Zbyt szybkie kasowanie śladów może utrudnić analizę.

Następnie trzeba założyć, że mogło dojść do kradzieży danych z przeglądarki, poczty i aplikacji. Potrzebny może być reset haseł, unieważnienie sesji, przegląd logowań, kontrola reguł pocztowych i sprawdzenie, czy konto nie zostało użyte do dalszej korespondencji z kontrahentami.

Jeżeli użytkownik pracuje w finansach, HR, administracji, logistyce, produkcji, sprzedaży lub IT, analiza powinna objąć również ryzyko dalszego oszustwa na podstawie skradzionej korespondencji.

Co powinny sprawdzić IT, Security i SOC

Zespół bezpieczeństwa powinien zacząć od zasięgu kampanii. Trzeba sprawdzić, kto otrzymał wiadomość, kto otworzył załącznik, kto pobrał plik i czy podobne tematy lub nadawcy pojawiają się w poczcie.

W logach endpointów warto szukać uruchomień z katalogu Downloads, Temp, pulpitu i katalogów po rozpakowaniu archiwów. Znaczenie mają procesy potomne, połączenia sieciowe, próby dostępu do przeglądarek, klientów poczty i menedżerów haseł.

W poczcie trzeba sprawdzić, czy po incydencie nie pojawiły się nowe reguły przekazywania, nietypowe logowania, masowa wysyłka, usunięte wiadomości albo próby odpowiadania kontrahentom z przejętego konta.

W testach phishingowych dla firm taki scenariusz można mierzyć inaczej niż zwykłe kliknięcie. Liczy się otwarcie wiadomości, pobranie załącznika, próba rozpakowania, zatrzymanie przy nietypowym rozszerzeniu i zgłoszenie do zespołu bezpieczeństwa.

Jak ćwiczyć odporność na dokumenty z malware

Ćwiczenia powinny przypominać realną pracę. Fałszywa faktura, potwierdzenie wpłaty, dokument do podpisu, korekta rozliczenia albo wiadomość od rzekomej firmy produkcyjnej są lepszym testem niż abstrakcyjny e-mail od nieznanego nadawcy.

Ważne, aby po teście nie kończyć na informacji o błędzie. Użytkownik powinien zobaczyć, gdzie był moment zatrzymania: nieoczekiwany załącznik, archiwum zamiast dokumentu, presja pilnej weryfikacji, dane kontaktowe z podejrzanej wiadomości albo nietypowe rozszerzenie pliku.

Dla działów finansowych i operacyjnych szczególnie ważne są procedury potwierdzania zmian w płatnościach, danych kontrahenta i dokumentach rozliczeniowych. Dla działów IT ważna jest kontrola uruchamiania plików z archiwów i katalogów użytkownika.

Najlepsza zasada do wdrożenia jest praktyczna: dokument finansowy, który był nieoczekiwany, wymaga rozpakowania albo uruchomienia pliku, nie jest dokumentem do obsłużenia. Jest zdarzeniem do weryfikacji.