Найти в Дзене
F6. Борьба с киберпреступностью
1732 подписчика

Троянский понь: DarkWatchman RAT атакует российские компании от имени Pony Express

32
1 мин
Привет, Дзен! Все же помнят про троянского коня? Из мифов слепого Гомера до нас долетела история о том, как хитромудрый Одиссей придумал обмануть троянцев и вскрыть стены неприступной крепости изнутри. Образ троянского коня, который защитники Трои сами на свою беду вкатили к себе за ворота, широко используется и в кибербезопасности. Троянцем, например, называют вредоносную программу, которая замаскирована под легальное ПО. Недавно наши специалисты обнаружили троянского коня, хитро спрятанного в почтовой рассылке от Pony.
На днях Центр кибербезопасности F.A.C.C.T. зафиксировал новую активность трояна DarkWatchman RAT, вредоносной программы, предназначенной для удаленного доступа зараженным компьютером.
На этот раз злоумышленники пытались атаковать российские компании под видом фейковой почтовой рассылки от популярной курьерской службы доставки Pony Express.
В списке рассылки замечены как минимум три десятка получателей, в том числе российские банки, ритейлеры и маркетплейсы, телеко

Привет, Дзен! Все же помнят про троянского коня? Из мифов слепого Гомера до нас долетела история о том, как хитромудрый Одиссей придумал обмануть троянцев и вскрыть стены неприступной крепости изнутри. Образ троянского коня, который защитники Трои сами на свою беду вкатили к себе за ворота, широко используется и в кибербезопасности. Троянцем, например, называют вредоносную программу, которая замаскирована под легальное ПО. Недавно наши специалисты обнаружили троянского коня, хитро спрятанного в почтовой рассылке от Pony.

На днях Центр кибербезопасности F.A.C.C.T. зафиксировал новую активность трояна DarkWatchman RAT, вредоносной программы, предназначенной для удаленного доступа зараженным компьютером.

На этот раз злоумышленники пытались атаковать российские компании под видом фейковой почтовой рассылки от популярной курьерской службы доставки Pony Express.

В списке рассылки замечены как минимум три десятка получателей, в том числе российские банки, ритейлеры и маркетплейсы, телеком-операторы, предприятия агропромышленного комплекса и ТЭК, логистические и IT-компании.

В письме говорится, что у получателя якобы подходит к концу срок бесплатного хранения товара, а во вложении под видом архива с накладной загружается вредоносное ПО с трояном удаленного доступа DarkWatchman RAT.

Сриншот недавней рассылки в вредоносным вложением на борту
Сриншот недавней рассылки в вредоносным вложением на борту

Как выяснили эксперты ЦК, письмо было отправлено с домена ponyexpress[.]site, где три года назад размещалась фишинговая страница, мимикрирующая под онлайн-магазин. Указанный в письме многоканальный телефон, действительно, принадлежит курьерской службе, и сейчас там уже звучит предупреждение о том, что рассылка с адреса support@ponyexpress.site является мошеннической: “Пожалуйста, не отвечайте на письмо и не открывайте вложенные документы!”.

Напомним, что в уходящем году киберпреступники довольно активно распространяли DarkWatchman RAT – под видом зашифрованного архива с итогами фейкового тендера от Минобороны или лже-повесток от военных комиссариатов, и даже с использованием фейкового сайта российского разработчика средств криптографической защиты.

Под видом зашифрованного архива с итогами фейкового тендера от Минобороны злоумышленники распространяли троян DarkWatchman RAT.
Под видом зашифрованного архива с итогами фейкового тендера от Минобороны злоумышленники распространяли троян DarkWatchman RAT.


Во всех случаях атаки были нейтрализована системой для продвинутого обнаружения, реагирования и защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR.