Компания BI.ZONE рассказала, что группировка Scaly Wolf попыталась использовать новый инструмент, чтобы эффективнее внедрять в инфраструктуру организаций стилер White Snake. White Snake представляет собой вредоносное ПО (ВПО) для кражи данных. Однако вместо стилера на скомпрометированные устройства устанавливался легитимный файл, не причинявший никакого ущерба.
Группировка Scaly Wolf снова активизировалась в конце марта 2024 года. Ранее она неоднократно атаковала организации Российской Федерации и Республики Беларусь. Злоумышленники провели с разных email‑адресов минимум 6 фишинговых рассылок, нацеленных на промышленные компании, логистические компании и государственные организации.
Злоумышленники планировали получить доступ к корпоративным данным с помощью стилера White Snake. Ранее это ПО они уже использовали в прежних кампаниях. White Snake позволяет собирать сохранённые в браузере логины и пароли, записывать нажатия клавиш, копировать документы с заражённого компьютера, получать к нему удалённый доступ и многое другое.
Scaly Wolf действовала по привычной схеме, маскируя фишинг под официальные письма от федеральных ведомств. По плану, жертва должна была открыть приложенный ZIP‑архив, получив такое «официальное» письмо. Раньше хакеры помещали стилер в архив, но в новой кампании злоумышленники пошли сложным и, как им казалось, надёжным путём и воспользовались вредоносным загрузчиком. При открытии архива загрузчик должен был внедриться в приложение «Проводник» и установить последнюю версию White Snake, но всё получилось по‑другому.
По словам руководителя BI.ZONE Threat Intelligence Олега Скулкина, злоумышленники обновили способ доставки стилера в целевые системы, чтобы эффективнее обходить средства защиты, но сделали это в спешке. Вместо ВПО White Snake в систему копируется легитимный файл explorer.exe («Проводник»). Поэтому даже в случае успешной атаки преступники не достигали главной цели и не получали доступ к чувствительным данным и скомпрометированной системе.
Отличительными особенностями White Snake были низкая стоимость подписки ($140 в месяц), простота в использовании, широкая функциональность и запрет на использование на территории СНГ. Scaly Wolf обошла запрет, отключив функцию, прекращающую работу программы, если ВПО запускали на устройстве с IP‑адресом из «запрещённых» регионов.
В ходе неудавшейся кампании Scaly Wolf использовали последнюю версию White Snake. Эта версия появилась в продаже на теневых ресурсах только в конце марта 2024 года. Разработчики White Snake объявили «весенние скидки», поэтому приобрести доступ к ВПО на полгода можно было за $500 вместо 590, на год — за $800 вместо 1100, бессрочно — за $1 тысячу вместо 1950.
