«Лаборатория Касперского» рассказала о выявлении и последующей блокировке сразу нескольких вредоносных рассылок, которые осуществлялась в отношении российских госструктур и крупных организаций.
В рамках таких рассылок сотрудники госучреждений и компаний получают фишинговые email-письма с прикрепленными файлами. Тексты внутри письма составляются киберпреступниками в соответствии с отраслью деятельности конкретной организации и актуальной новостной повесткой. В ряде случаев хакеры пользуются неизвестными ранее вариантами вредоносного ПО и приёмами, которые делают сложнее процессы выявления вредоносных email-писем защитным софтом.
В «Лаборатории Касперского» отмечают, что вредоносные рассылки летом 2022 года были зарегистрированы якобы от имени сотрудников разных министерств. Такие письма рассылались множеству групп получателей с доменами в госструктурах и ведомствах.
В каждом из таких фишинговых писем был прикрепленный файл, имеющий вид текстового документа с потенциально интересной получателю информацией. К примеру, в одной из вредоносных рассылок распространялся RTF-файл, в котором якобы были приведены комментарии по какой-то таблице. Этот файл содержал в себе вредоносный код, эксплуатирующий уязвимость в редакторе формул Microsoft Office Equation Editor. Эксплуатация этой уязвимости, по сути, позволяла киберпреступникам запускать на устройстве жертвы произвольный код и исполняемые файлы.
В «Лаборатории Касперского» выделили повышенный уровень правдоподобности таких мошеннических писем. Адреса отправителей имели ту же логику создания почтовых адресов, как это происходит в соответствующих госучреждениях, но с одним исключением – домены приходились на сторонние почтовые сервисы, которые на территории РФ распространения не имеют. Подобный приём называется спуфингом.
На фейковость email-письма указывали и другие признаки. В частности, в теме письма злоумышленники упоминали человека, который действительно работал в госструктуре ранее, но на момент отправки письма уже не состоял в штате. Помимо этого, перечни получателей письма были крайне обширными и многообразными, что должно было вызывать подозрения у внимательных пользователей.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.