Злоумышленники стали распространять вредоносное ПО под видом повесток

06.10.2022

В начале октября эксперты "Лаборатории Касперского" зафиксировали целевую атаку на российские организации. Злоумышленники разослали несколько сотен вредоносных писем, якобы касающихся темы частичной мобилизации. Анализ тактик и инструментов позволяет предположить, что за кампанией стоит группа XDSpy.

На первой рабочей неделе октября эксперты "Лаборатории Касперского" обнаружили рассылку вредоносных электронных писем. В сообщениях говорится, что в связи с неполучением повестки с указанным номером человека призывают срочно явиться в назначенное место и время. Более подробная информация якобы указана в повестке в формате PDF, которую необходимо скачать по ссылке. Письмо тщательно подготовлено и выглядит правдоподобно: содержит ссылки на статьи УК РФ, геральдику и стилистику соответствующего ведомства. В тексте злоумышленники угрожали возможными штрафами и уголовной ответственностью. Такие методы характерны для фишинговых рассылок и призваны заставить пользователя действовать быстро и необдуманно.

Ссылка ведёт на архив с исполняемым скриптом с расширением WSF. Если открыть файл, то он для отвода глаз скачает и отобразит в браузере PDF-документ, имитирующий отсканированную повестку, но параллельно создаст файл AnalysisLinkManager.exe во временной папке и запустит его. Используемое вредоносное ПО и техники имеют множество сходств с активностью группы XDSpy. В частности, с версиями прошлых лет совпадают исходный код вредоносного WSF-скрипта и способы запуска, а также частично названия файлов. Цели XDSpy — шпионаж, кража документов и других файлов, а также данных для доступа к корпоративным почтовым ящикам.

"В этой кампании используется ряд техник, позволяющих злоумышленникам проникнуть и закрепиться в системе — таргетированные фишинговые рассылки, имитация писем регуляторов, использование актуальной новостной повестки, вывод на экран изображения, которое ожидает пользователь. Это традиционно для XDSpy, — комментирует Андрей Ковтун, руководитель группы защиты от почтовых угроз "Лаборатории Касперского". — Такие атаки непросто обнаружить, поэтому компаниям важно внедрять комплексные системы защиты, а также обучать сотрудников правилам кибербезопасности".

Злоумышленники стали распространять вредоносное ПО под видом повесток

Новости из связанных рубрик

Информационная безопасность

Алгоритмы не будут работать, пока граждане не обучатся цифровой грамотности

Сбер запустил совместимую с любой операционной системой прошивку токенов для работы в СберБизнес

Концепция Цифрового кодекса обрела очертания

Заказчики промышленного софта и программно-аппаратных комплексов смогут получить субсидию до 50%

Беспилотники и автоматизированная система придут на помощь строительной отрасли

Алгоритмы не будут работать, пока граждане не обучатся цифровой грамотности

Власти обсудили список новых национальных проектов

Новосибирская область внедрила пожарный мониторинг с ИИ

Segezha Group тестирует автоматизированную лесозаготовительную технику "Камаз"

ГК "Русская Энергия" перевела закупки на ЭТП

Эффект от внедрения "цифровых карьеров" на предприятиях "Металлоинвеста" превысил 1,5 млрд рублей

Автодилер "Петровский" улучшила конверсию продаж с помощь CRM-системы

АКБ "Абсолют банк" и компания "Аладдин Р.Д." раскрыли карты информационной безопасности

Безоблачность России не грозит

Арктический дата-центр RUVDS доказал эффективность в условиях Крайнего Севера

Авто.ру Бизнес открыл дилерам возможность генерации описания автомобилей с помощью YandexGPT

В 2023 году продажи "Лаборатории Касперского" в России выросли на 36%

Сбер запустил совместимую с любой операционной системой прошивку токенов для работы в СберБизнес

Тепличный комплекс Пермский внедрил систему защиты данных

Момент истины: импортозамещение "под нагрузкой"

Naumen Contact Center — российская платформа контакт-центра enterprise-уровня для миграции с иностранных решений