Специалисты Центра кибербезопасности компании F.A.C.C.T. зафиксировали новый необычный способ доставки майнера Xmrig — вредоносного ПО, предназначенного для скрытой добычи криптовалют — при помощи настроенных автоматических ответов почтового адреса.
Рассылка autoreply-писем велась с скомпрометированных почтовых адресов. Начиная с конца мая схема использовалась для атак на ведущие российские интернет-компании, ритейл и маркетплейсы, страховые и финансовые компании.Не так давно аналитики ЦК обратили внимание на волну однотипных вредоносных рассылок по российским компаниям — маркетплейсам, ритейлу, финансовым и страховым компаниям.
Всего с конца мая было зафиксировано около 150 подобных писем. Все сообщения отправлялись с почтового сервиса с использованием автоответчика (autoreply) – стандартной функции почтовиков, позволяющей отправлять подготовленное сообщение на все входящие письма, а в самих письмах находилась ссылка на облако, куда был сохранен файл, содержащий ВПО.Компрометация отправителей Все вредоносные рассылки, отправленные в адрес клиентов F.A.C.C.T.