Россиян бомбардируют зловредными письмами от имени Минцифры и Роскомнадзора
Главная » Новости

Россиян бомбардируют зловредными письмами от имени Минцифры и Роскомнадзора

Татьяна Никитина 30 Марта 2022 - 18:34
...
Россиян бомбардируют зловредными письмами от имени Минцифры и Роскомнадзора

Эксперты Malwarebytes выявили вредоносную имейл-кампанию, нацеленную на получение удаленного доступа к Windows-компьютерам российских граждан и госструктур. Злоумышленники от имени Минцифры, Минсвязи или Роскомнадзора призывают получателей к бдительности и предлагают ознакомиться со списком заблокированных интернет-сайтов и сервисов.

Фальшивки снабжены вредоносным вложением либо ссылкой на поддельный сайт digital-ministry[.]ru с таким файлом. Анализ показал, что используемые при этом RTF-документы нацелены на эксплойт CVE-2021-40444 в браузерном движке MSHTML, который используют приложения Microsoft Office.

 

Иногда вложение выполнено в виде RAR-архива, содержащего целевой RTF. Применяемый эксплойт оказался Cabless-вариантом, который минувшей осенью попал в поле зрения Sophos.

 

Вредоносные письма распространяются на адреса электронной почты в следующих доменах:

  • mail.ru
  • mvd.ru
  • yandex.ru
  • cap.ru
  • minobr-altai.ru
  • yandex.ru
  • stavminobr.ru
  • mon.alania.gov.ru
  • astrobl.ru
  • 38edu.ru
  • mosreg.ru
  • mo.udmr.ru
  • minobrnauki.gov.ru
  • 66.fskn.gov.ru
  • bk.ru
  • ukr.net

В качестве приманки злоумышленники используют некий документ Минцифры или Минсвязи с электронной подписью; при попытке просмотра получателю предлагают включить режим редактирования и активный контент.

 

Как оказалось, эти RTF-файлы содержат ссылку, по которой со стороннего сайта загружается эксплойт-файл HTML со скриптом. Последний запускает на исполнение встроенный в RTF-документ JavaScript (код содержат WSF-данные, добавленные в начало файла). В результате отработки эксплойта на машину с помощью PowerShell загружается маячок CobaltStrike (putty.exe).

Исследователи также зафиксировали аналогичную спам-рассылку, нацеленную на засев инструмента удаленного администрирования на основе PowerShell. Этот скриптовый RAT собирает и отсылает на свой сервер системные данные, а также умеет загружать и запускать полезную нагрузку для продолжения атаки — исполняемые файлы, DLL, JavaScript, PowerShell.

Следующая главная новость »
AM LiveVulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

YouTube удалил госканалы Беларуси: БЕЛТА, ОНТ и СТВ
Екатерина Быстрова 03 Апреля 2026 - 21:03
Информационные войны Общее
YouTube удалил госканалы Беларуси: БЕЛТА, ОНТ и СТВ

Государственные YouTube-каналы Беларуси, включая БЕЛТА, ОНТ и СТВ, 3 апреля были удалены с платформы. В белорусском Мининформе этот шаг оценили резко негативно и назвали его недружественным и безосновательным.

Об этом сообщило агентство БЕЛТА. Там же уточнили, что причиной названы санкции.

Ведомство заявило, что оставляет за собой право на ответные меры. БЕЛТА отдельно подчёркивает, что само агентство, по его версии, под санкциями не находится.

На этом фоне пользователям также посоветовали быть внимательнее: если на YouTube начнут появляться каналы с теми же названиями, это могут быть клоны. История уже вышла за рамки просто удаления страниц и быстро превращается ещё и в вопрос доверия к тому, что пользователи увидят вместо них.

Пока подробностей со стороны YouTube немного, но сама ситуация выглядит как очередной виток давления на государственные медиа Беларуси в зарубежных цифровых платформах.

Для аудитории это означает, что теперь придётся следить за тем, где появятся их новые площадки или зеркала.

AM LiveVulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!
На активность ботов приходится 41% всех атак
Новость
На активность ботов приходится 41% всех атак
YouTube показывает «контент недоступен» из-за блокировщиков рекламы
Новость
YouTube показывает «контент недоступен» из-за блокировщиков...
Взломщики украли данные юзеров Match, Hinge, OKCupid — якобы 10 млн записей
Новость
Взломщики украли данные юзеров Match, Hinge, OKCupid — якобы...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.