Россиян бомбардируют зловредными письмами от имени Минцифры и Роскомнадзора

Татьяна Никитина 30 Марта 2022 - 18:34

...

Россиян бомбардируют зловредными письмами от имени Минцифры и Роскомнадзора

Эксперты Malwarebytes выявили вредоносную имейл-кампанию, нацеленную на получение удаленного доступа к Windows-компьютерам российских граждан и госструктур. Злоумышленники от имени Минцифры, Минсвязи или Роскомнадзора призывают получателей к бдительности и предлагают ознакомиться со списком заблокированных интернет-сайтов и сервисов.

Фальшивки снабжены вредоносным вложением либо ссылкой на поддельный сайт digital-ministry[.]ru с таким файлом. Анализ показал, что используемые при этом RTF-документы нацелены на эксплойт CVE-2021-40444 в браузерном движке MSHTML, который используют приложения Microsoft Office.

Иногда вложение выполнено в виде RAR-архива, содержащего целевой RTF. Применяемый эксплойт оказался Cabless-вариантом, который минувшей осенью попал в поле зрения Sophos.

Вредоносные письма распространяются на адреса электронной почты в следующих доменах:

mail.ru
mvd.ru
yandex.ru
cap.ru
minobr-altai.ru
yandex.ru
stavminobr.ru
mon.alania.gov.ru
astrobl.ru
38edu.ru
mosreg.ru
mo.udmr.ru
minobrnauki.gov.ru
66.fskn.gov.ru
bk.ru
ukr.net

В качестве приманки злоумышленники используют некий документ Минцифры или Минсвязи с электронной подписью; при попытке просмотра получателю предлагают включить режим редактирования и активный контент.

Как оказалось, эти RTF-файлы содержат ссылку, по которой со стороннего сайта загружается эксплойт-файл HTML со скриптом. Последний запускает на исполнение встроенный в RTF-документ JavaScript (код содержат WSF-данные, добавленные в начало файла). В результате отработки эксплойта на машину с помощью PowerShell загружается маячок CobaltStrike (putty.exe).

Исследователи также зафиксировали аналогичную спам-рассылку, нацеленную на засев инструмента удаленного администрирования на основе PowerShell. Этот скриптовый RAT собирает и отсылает на свой сервер системные данные, а также умеет загружать и запускать полезную нагрузку для продолжения атаки — исполняемые файлы, DLL, JavaScript, PowerShell.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Яков Шпунт 25 Марта 2026 - 11:38

Соответствие законодательству РФ Общее Системы контентной веб-фильтрации

ФАС смягчила позицию по отношению к рекламе в Telegram и YouTube

Федеральная антимонопольная служба смягчила свою позицию в отношении рекламы в Telegram и YouTube. До конца 2026 года ведомство не будет применять меры ответственности за размещение рекламы на этих площадках. При этом ФАС продолжит контролировать рекламу на платформах, запрещённых в России, включая Facebook и Instagram (обе платформы принадлежат признанной в России экстремистской и запрещённой корпорации Meta), а также в VPN-сервисах.

Потенциальным нарушителям в ведомстве при этом напомнили о действующей ответственности за подобные размещения.

«Очевидно, что хозяйствующим субъектам требуется время для адаптации к новым правилам и переориентированию на другие рекламные каналы. Поэтому в отношении рекламы в Telegram и YouTube необходим переходный период до конца 2026 года, в течение которого меры ответственности за распространение рекламы на таких ресурсах применяться не будут», — говорится в официальном сообщении ведомства.

Между тем, по данным Ассоциации блогеров и агентств, на Telegram и YouTube приходится около 70% рынка инфлюенс-маркетинга. После привлечения к ответственности двух блогеров объём рекламных размещений на этих площадках начал снижаться, особенно со стороны крупных агентств. Как отметил телеграм-канал «Код Дурова», именно позиция Ассоциации блогеров и агентств повлияла на корректировку подхода ФАС.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!