Россиян бомбардируют зловредными письмами от имени Минцифры и Роскомнадзора

Татьяна Никитина 30 Марта 2022 - 18:34

...

Россиян бомбардируют зловредными письмами от имени Минцифры и Роскомнадзора

Эксперты Malwarebytes выявили вредоносную имейл-кампанию, нацеленную на получение удаленного доступа к Windows-компьютерам российских граждан и госструктур. Злоумышленники от имени Минцифры, Минсвязи или Роскомнадзора призывают получателей к бдительности и предлагают ознакомиться со списком заблокированных интернет-сайтов и сервисов.

Фальшивки снабжены вредоносным вложением либо ссылкой на поддельный сайт digital-ministry[.]ru с таким файлом. Анализ показал, что используемые при этом RTF-документы нацелены на эксплойт CVE-2021-40444 в браузерном движке MSHTML, который используют приложения Microsoft Office.

Иногда вложение выполнено в виде RAR-архива, содержащего целевой RTF. Применяемый эксплойт оказался Cabless-вариантом, который минувшей осенью попал в поле зрения Sophos.

Вредоносные письма распространяются на адреса электронной почты в следующих доменах:

mail.ru
mvd.ru
yandex.ru
cap.ru
minobr-altai.ru
yandex.ru
stavminobr.ru
mon.alania.gov.ru
astrobl.ru
38edu.ru
mosreg.ru
mo.udmr.ru
minobrnauki.gov.ru
66.fskn.gov.ru
bk.ru
ukr.net

В качестве приманки злоумышленники используют некий документ Минцифры или Минсвязи с электронной подписью; при попытке просмотра получателю предлагают включить режим редактирования и активный контент.

Как оказалось, эти RTF-файлы содержат ссылку, по которой со стороннего сайта загружается эксплойт-файл HTML со скриптом. Последний запускает на исполнение встроенный в RTF-документ JavaScript (код содержат WSF-данные, добавленные в начало файла). В результате отработки эксплойта на машину с помощью PowerShell загружается маячок CobaltStrike (putty.exe).

Исследователи также зафиксировали аналогичную спам-рассылку, нацеленную на засев инструмента удаленного администрирования на основе PowerShell. Этот скриптовый RAT собирает и отсылает на свой сервер системные данные, а также умеет загружать и запускать полезную нагрузку для продолжения атаки — исполняемые файлы, DLL, JavaScript, PowerShell.

Следующая главная новость »

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Марта 2026 - 08:51

Мошенничество Онлайн-мошенничество Домашние пользователи

Мошенники добрались до министра Камчатки в MAX

Телефонные мошенники, кажется, лезут уже вообще везде, даже в государственном мессенджера MAX. На этот раз их целью стал министр по чрезвычайным ситуациям Камчатского края Сергей Лебедев. Но схема, как выяснилось, оказалась слишком знакомой, так что долго этот разговор не продлился.

Как пишет ИА «Кам 24», всё началось с сообщения в мессенджере: министра предупредили, что скоро ему позвонит некий «куратор из ФСБ».

Затем действительно последовал звонок, в котором собеседника попытались втянуть в уже классическую историю про «безопасный счёт».

По словам самого Сергея Лебедева, с подобными попытками он сталкивался уже не раз, поэтому почти сразу понял, с кем имеет дело. Самый интересный момент случился дальше: министр упомянул Крым, после чего звонивший внезапно свернул беседу и просто прервал контакт.

После этого Лебедев напомнил жителям Камчатки вещь, которую, кажется, стоит повторять как мантру: как только в разговоре появляются деньги, «кураторы», проверки, срочные переводы и прочая драматургия, общение лучше сразу заканчивать. Именно на таких сюжетах мошенники чаще всего и пытаются вытащить из человека деньги или личные данные.

Вообще, эта история хороша тем, что ещё раз показывает: мошеннические сценарии почти не меняются, меняются только площадки. Сначала человека стараются насторожить, а потом — наоборот, загнать в спешку и заставить действовать без раздумий. В случае с камчатским министром схема не сработала. Но расчёт у неё был именно на растерянность и давление.

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!