Россиян бомбардируют зловредными письмами от имени Минцифры и Роскомнадзора

Россиян бомбардируют зловредными письмами от имени Минцифры и Роскомнадзора

Россиян бомбардируют зловредными письмами от имени Минцифры и Роскомнадзора

Эксперты Malwarebytes выявили вредоносную имейл-кампанию, нацеленную на получение удаленного доступа к Windows-компьютерам российских граждан и госструктур. Злоумышленники от имени Минцифры, Минсвязи или Роскомнадзора призывают получателей к бдительности и предлагают ознакомиться со списком заблокированных интернет-сайтов и сервисов.

Фальшивки снабжены вредоносным вложением либо ссылкой на поддельный сайт digital-ministry[.]ru с таким файлом. Анализ показал, что используемые при этом RTF-документы нацелены на эксплойт CVE-2021-40444 в браузерном движке MSHTML, который используют приложения Microsoft Office.

 

Иногда вложение выполнено в виде RAR-архива, содержащего целевой RTF. Применяемый эксплойт оказался Cabless-вариантом, который минувшей осенью попал в поле зрения Sophos.

 

Вредоносные письма распространяются на адреса электронной почты в следующих доменах:

  • mail.ru
  • mvd.ru
  • yandex.ru
  • cap.ru
  • minobr-altai.ru
  • yandex.ru
  • stavminobr.ru
  • mon.alania.gov.ru
  • astrobl.ru
  • 38edu.ru
  • mosreg.ru
  • mo.udmr.ru
  • minobrnauki.gov.ru
  • 66.fskn.gov.ru
  • bk.ru
  • ukr.net

В качестве приманки злоумышленники используют некий документ Минцифры или Минсвязи с электронной подписью; при попытке просмотра получателю предлагают включить режим редактирования и активный контент.

 

Как оказалось, эти RTF-файлы содержат ссылку, по которой со стороннего сайта загружается эксплойт-файл HTML со скриптом. Последний запускает на исполнение встроенный в RTF-документ JavaScript (код содержат WSF-данные, добавленные в начало файла). В результате отработки эксплойта на машину с помощью PowerShell загружается маячок CobaltStrike (putty.exe).

Исследователи также зафиксировали аналогичную спам-рассылку, нацеленную на засев инструмента удаленного администрирования на основе PowerShell. Этот скриптовый RAT собирает и отсылает на свой сервер системные данные, а также умеет загружать и запускать полезную нагрузку для продолжения атаки — исполняемые файлы, DLL, JavaScript, PowerShell.

ФБР расследует серию вредоносных игр в Steam и ищет пострадавших игроков

ФБР запустило публичный сбор информации по делу о вредоносных играх в Steam. Ведомство сообщило, что подразделение в Сиэтле ищет возможных пострадавших, которые устанавливали игры из Steam со встроенным вредоносным кодом.

Судя по описанию, речь идёт не о каком-то единичном инциденте, а о целой серии историй, когда под видом обычных игр пользователям подсовывали зловред.

Такие проекты выглядели вполне безобидно, но после запуска могли красть данные, перехватывать аккаунты и вытаскивать конфиденциальную информацию с компьютера. Об этом ранее писали и исследователи, разбиравшие отдельные случаи на Steam.

Среди игр, которые связывают с этой историей, называют Chemia, Dashverse / DashFPS, Lampy, Lunara, PirateFi, Tokenova и BlockBlasters. Особенно заметным оказался случай с BlockBlasters: по данным исследователей, вредоносная активность там проявилась после одного из патчей, а зловред собирал, в частности, данные, связанные с криптокошельками и учётными записями пользователя.

Вообще, схема довольно неприятная: человек просто ставит игру, запускает её как обычно, а дальше вместе с развлечением получает ещё и скрытую нагрузку в виде стилера или другого вредоносного инструмента.

В результате под удар могут попасть не только игровые аккаунты, но и сохранённые сессии в браузере, логины, пароли и криптокошельки. В случае с BlockBlasters исследователи отдельно указывали на сбор данных Steam и другой информации с заражённой системы.

ФБР сейчас предлагает пострадавшим добровольно заполнить специальную форму на своём сайте. Ведомство подчёркивает, что ответы конфиденциальны, а тех, кто предоставит информацию, при необходимости могут позже попросить о дополнительных деталях.

RSS: Новости на портале Anti-Malware.ru