Rambler's Top100
Все новости Новости отрасли

Злоумышленники атакуют российские компании под видом официальных ведомств

17 марта 2023

Эксперты «Лаборатории Касперского» предупредили о новой вредоносной рассылке по компаниям в России.  Среди сообщений попадаются письма якобы от официальных ведомств страны. Согласно легенде злоумышленников, из-за ошибок в электронной базе данных получатель должен проверить правильность информации о сотрудниках. Вероятно, цель атакующих — шпионаж, кража документов или данных для доступа к корпоративным почтовым ящикам. Используемые зловреды и техники имеют множество сходств с теми, которые применяет в своих атаках группа XDSpy.

Рассылка началась утром 13 марта. За четверо суток эксперты «Лаборатории Касперского» обнаружили несколько сотен подобных писем*. Злоумышленники просят сверить данные о сотрудниках якобы из базы ведомства. Под видом вложенного списка рассылается вредоносное ПО. В сообщении утверждается, что обновлённую информацию нужно направить срочно, иначе получатель рискует быть привлечённым к административной ответственности. Среди основных адресатов — сотрудники кадровых и финансовых отделов. Однако, как предупреждают специалисты, такое письмо может прийти на любой корпоративный адрес.

15 марта была заблокирована ещё одна волна рассылки с теми же признаками. В ней злоумышленники пугали получателя уголовной статьёй в связи с неким денежным переводом и предлагали перейти по ссылке, чтобы узнать подробности «дела». Ссылка также была вредоносной.

Для рассылки злоумышленники регистрируют домены, которые похожи на легитимные файловые хостинги. Если пользователь попытается посмотреть заявленный в письме список, распакует скачавшийся архив и откроет файл, то при помощи командной строки запустится вредоносный код, и атака продолжится.

«В скачиваемом по ссылке архиве два файла. Один из них — ярлык, название которого соответствует описанию в тексте письма (например, Spisok_No_658.lnk). Второй — текстовый, с вредоносным кодом. Он назван Thumbs.db, как и служебный файл в операционных системах Microsoft, который используется для хранения эскизов содержащихся в папке изображений. Если попытаться открыть этот якобы список, то автоматически запустится второй файл, атака продолжится», — предупреждает Виктория Власова, эксперт по кибербезопасности «Лаборатории Касперского».

«Сами письма хотя и выглядят правдоподобно — содержат подпись и адрес отправителя — написаны довольно небрежно, с ошибками. Более того, внимательный пользователь заметит, что приходят они с домена, не имеющего отношения к заявленной организации, — добавляет Андрей Ковтун, руководитель группы защиты от почтовых угроз «Лаборатории Касперского». — В целом рассылка похожа на ту, что мы видели в октябре прошлого года, когда шла волна писем с поддельными повестками в военкомат: используется почтовая программа Thunderbird; формат письма, внешний вид ссылок и имена доменов тоже похожи; отправка, как и тогда, осуществляется с доменов не из зоны ru».

Источник: Лаборатория Касперского

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Читайте также:

Назначен новый генеральный директор компании МойОфис

Каждая вторая компания с филиальной сетью в России внедряет технологию SD-WAN для повышения уровня безопасности

STEP LOGIC внедрил комплексное решение для защиты ОКИИ на горнодобывающем предприятии

beeline cloud и «Лаборатория Касперского» запустили Cloud SD-WAN

В 2023 году число заблокированных фишинговых ссылок в России выросло в 5 раз

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.

Продолжение использования сайта пользователем интерпретируется как согласие на обработку фрагментов персональных данных (таких, как cookies) для целей корректной работы сайта.

Согласен