© ComNews
17.03.2023

Эксперты "Лаборатории Касперского" предупредили о новой вредоносной рассылке по компаниям в России. Среди сообщений попадаются письма якобы от официальных ведомств страны.

Согласно легенде злоумышленников, из-за ошибок в электронной базе данных получатель должен проверить правильность информации о сотрудниках. Вероятно, цель атакующих — шпионаж, кража документов или данных для доступа к корпоративным почтовым ящикам. Используемые зловреды и техники имеют множество сходств с теми, которые применяет в своих атаках группа XDSpy.

Рассылка началась утром 13 марта. За четверо суток эксперты "Лаборатории Касперского" обнаружили несколько сотен подобных писем*. Злоумышленники просят сверить данные о сотрудниках якобы из базы ведомства. Под видом вложенного списка рассылается вредоносное ПО. В сообщении утверждается, что обновлённую информацию нужно направить срочно, иначе получатель рискует быть привлечённым к административной ответственности. Среди основных адресатов — сотрудники кадровых и финансовых отделов. Однако, как предупреждают специалисты, такое письмо может прийти на любой корпоративный адрес.

15 марта была заблокирована ещё одна волна рассылки с теми же признаками. В ней злоумышленники пугали получателя уголовной статьёй в связи с неким денежным переводом и предлагали перейти по ссылке, чтобы узнать подробности "дела". Ссылка также была вредоносной.

Для рассылки злоумышленники регистрируют домены, которые похожи на легитимные файловые хостинги. Если пользователь попытается посмотреть заявленный в письме список, распакует скачавшийся архив и откроет файл, то при помощи командной строки запустится вредоносный код, и атака продолжится.

"В скачиваемом по ссылке архиве два файла. Один из них — ярлык, название которого соответствует описанию в тексте письма (например, Spisok_No_658.lnk). Второй — текстовый, с вредоносным кодом. Он назван Thumbs.db, как и служебный файл в операционных системах Microsoft, который используется для хранения эскизов содержащихся в папке изображений. Если попытаться открыть этот якобы список, то автоматически запустится второй файл, атака продолжится", — предупреждает Виктория Власова, эксперт по кибербезопасности "Лаборатории Касперского".

"Сами письма хотя и выглядят правдоподобно — содержат подпись и адрес отправителя — написаны довольно небрежно, с ошибками. Более того, внимательный пользователь заметит, что приходят они с домена, не имеющего отношения к заявленной организации, — добавляет Андрей Ковтун, руководитель группы защиты от почтовых угроз "Лаборатории Касперского". — В целом рассылка похожа на ту, что мы видели в октябре прошлого года, когда шла волна писем с поддельными повестками в военкомат: используется почтовая программа Thunderbird; формат письма, внешний вид ссылок и имена доменов тоже похожи; отправка, как и тогда, осуществляется с доменов не из зоны ru".

Новости из связанных рубрик