Злоумышленники начали рассылать по российским компаниям вредоносные письма, якобы касающиеся темы частичной мобилизации. Эксперты «Лаборатории Касперского» считают, что за этой кампанией стоит группа XDSpy.
На первой рабочей неделе октября эксперты «Лаборатории Касперского» обнаружили рассылку вредоносных электронных писем. В известьях говорится, что в связи с неполучением повестки с указанным номером человека призывают поспешно появиться в назначенное место и время. Более доскональная информация якобы указана в повестке в формате PDF, которую необходимо скачать по ссылке. Письмо тщательно подготовлено и выглядит правдоподобно: содержит ссылки на статьи УК РФ, геральдику и стилистику соответствующего ведомства. В тексте злоумышленники грозили возможными штрафами и уголовной ответственностью. Такие методы отличительны для фишинговых рассылок и призваны поставить перед необходимостью пользователя действовать живо и неосмотрительно.
Ссылка ведёт на архив с исполняемым скриптом с расширением WSF. Если открыть файл, то он для отвода глаз скачает и отобразит в браузере PDF-документ, имитирующий отсканированную повестку, но параллельно создаст файл AnalysisLinkManager.exe во временной папке и запустит его. Используемое вредоносное ПО и техники имеют множество сходств с активностью группы XDSpy. В частности, с версиями минувших лет совпадают исходный код вредоносного WSF-скрипта и способы запуска, а также частично наименования файлов. Цели XDSpy - шпионаж, кража документов и прочих файлов, а также данных для доступа к корпоративным почтовым ящикам.
«В этой кампании используется ряд техник, позволяющих злодеям проникнуть и закрепиться в системе - таргетированные фишинговые рассылки, имитация писем регуляторов, использование актуальной новостной повестки, вывод на экран изображения, которое ждёт пользователь. Это традиционно для XDSpy, - объясняет Андрей Ковтун, руководитель группы защиты от почтовых угроз «Лаборатории Касперского». - Такие атаки непросто обнаружить, поэтому компаниям важно внедрять комплексные системы защиты, а также обучать сотрудников правилам кибербезопасности».
Фото: Unsplash.com