Центр мониторинга внешних цифровых угроз Solar AURA компании "РТК-Солар" зафиксировал массовую фишинговую рассылку от имени правоохранительных органов Российской Федерации. Для правдоподобия злоумышленники использовали реальные данные граждан, полученные из масштабных утечек.
© ComNews
31.08.2023
Аналитики Solar AURA (принадлежит "РТК-Солар") установили, что мошенники использовали домены, максимально похожие на официальные доменные имена следственных органов. Злоумышленники рассылали письма с требованием ознакомиться с материалами уголовного дела, используя при этом реальные данные граждан, полученные вследствие утечек.
Ранее злоумышленники атаковали и заразили шпионским программным обеспечением (ПО) мобильные устройства сотрудников крупных корпораций.
В рассылке мошенники обращались к жертвам по имени отчеству, в некоторых случаях указывали паспортные данные и адреса регистрации. Фигурирующие в тексте номера уголовных дел являются настоящими и получены из открытых источников. Все это создает иллюзию взаимодействия с органом государственной власти и повышает шансы, что получатель письма запустит вредоносную программу.
Аналитики выяснили, что злоумышленники воспользовались одной из утечек 2022 г.: тогда общее количество опубликованных записей достигло 30 млн, включая более 6 млн уникальных электронных почт, среди которых 78 тыс. принадлежат корпоративным доменам.
Специалисты утверждают, что схема фишинговой рассылки распространенная, но претерпела некоторые изменения. Ранее мошенники вкладывали вредоносные ZIP-файлы непосредственно в письма, однако в связи с ужесточением мер безопасности подобные сообщения теперь должны автоматически фильтроваться как спам. Поэтому злоумышленники вместо привычных вложений вставляют ссылку на файлообменник, через которую, предположительно, жертва загружает вредоносное содержимое. В этой атаке оно замаскировано под программу для распознавания текста.
Однако руководитель группы защиты от почтовых угроз "Лаборатории Касперского" Андрей Ковтун рассказал, что ссылка для скачивания файла вместо вложения не является новинкой: "Ссылка используется для распространения вредоносов в почте уже многие годы. Поэтому почтовые фильтры, как правило, умеют блокировать подобные сообщения. В последнее время мы неоднократно наблюдали атаки на корпоративных пользователей с попытками мимикрии под государственные структуры. В них вредоносный файл тоже необходимо было скачать по ссылке из письма. Однако в данной рассылке используется другое вредоносное ПО".
Эксперт центра мониторинга внешних цифровых угроз Solar AURA Диана Селехина предположила, какие мотивы могли преследовать злоумышленники: "В данном случае использование вредоноса для удаленного доступа позволяет злоумышленникам действовать от имени жертвы, от ее лица. То есть все операции будут выглядеть легитимными. Например, если мошенники зайдут в личный кабинет клиента банка с компьютера жертвы, это не вызовет подозрений системы антифрода. Более того, такую операцию потом будет очень тяжело оспорить, так как с точки зрения банка это будет обычная операция клиента, а доказать, что у него использовалось вредоносное ПО, крайне сложно, тем более что после хищения злоумышленники, как правило, удаляют вредоносную программу с компьютера жертвы, заметая тем самым следы".
