Аферисты заманивают любителей бесплатного на фишинговые ссылки

Аферисты заманивают любителей бесплатного на фишинговые ссылки

Аферисты заманивают любителей бесплатного на фишинговые ссылки

МВД России предупредило о распространении новой фишинговой схемы. Мошенники действуют через домовые и районные чаты. Там злоумышленники распространяют объявления о том, что отдают бесплатно бытовую технику или мебель.

Тем, кто заинтересовался, они предлагают встретиться, отправляя фото или видео с подтверждением наличия нужной вещи.

Однако накануне встречи податель объявления сообщает о резкой смене планов и предлагает оформить курьерскую доставку. Для оформления доставки он предлагает пройти по ссылке.

«Цель злоумышленников — заразить телефон пользователя вредоносным программным обеспечением для похищения персональных данных и получения доступа к платежным средствам», — предупреждает официальный телеграм-канал профильного главка МВД России.

«Обещают прислать вам курьера, отправляют какое-то расширение и код, если вы его установите и введете данные, то они подключаются к вашему телефону зеркально и видят все ваши переписки. Возможно, найдут в заметках ваши пароли от почты, банков, Госуслуг и прочего. Могут зеркально сидеть вместе с вами в вашем телефоне и переводить деньги или брать на вас кредиты», — сообщает один из пострадавших.

Как оказалось, наиболее уязвимой для фишинга категорий россиян оказались молодые люди от 18 до 34 лет. Как правило, организаторы фишинговых схем пытаются соблазнять потенциальных жертв возможностью быстрого заработка.

Фишеры атакуют российский авиапром через счета и ставят AnyDesk

Исследователи Seqrite обнаружили фишинговую кампанию против российских аэрокосмических компаний. Схема получилась уже знакомая: письмо якобы со счётом от реальной авиационной организации. Но внутри не бухгалтерия, а удалённый доступ к компьютеру жертвы через AnyDesk.

Атака начинается с письма, отправленного от имени ВНИИР. Домен похож на настоящий, тема про счёт, оформление с логотипом Минпромторга. Для убедительности всё как надо.

Однако фейковый домен зарегистрировали всего за несколько дней до рассылки, а список получателей скрыт, что намекает на массовую отправку.

 

Во вложении лежит запароленный архив. Пароль заботливо указан в тексте письма: пользователю удобно, защитным системам — уже не очень. Внутри находится дроппер, собранный с помощью Smart Install Maker. После запуска он показывает на экране PDF-приманку со счётом, а сам тем временем распаковывает файлы во временную папку и тянет с командного сервера второй архив.

 

В этом наборе — портативный AnyDesk, почтовая утилита Blat, Tray Minimizer и batch-скрипт. Последний делает всю грязную работу: ждёт около минуты, чтобы пережить песочницы, задаёт фиксированный пароль AnyDesk, копирует его в ProgramData и запускает. После этого операторы могут заходить на машину без лишних вопросов и всплывающих просьб.

Затем скрипт упаковывает настройки AnyDesk в защищённый архив и отправляет их злоумышленникам через Blat по SMTP. Для закрепления создаётся задача с кривым названием Auto apdate, а временные файлы удаляются, чтобы расследователям было веселее копаться в следах.

 

Seqrite подозревает связь с группой Rare Werewolf, также известной как Librarian Ghouls и Rezet. Её активность фиксируют как минимум с 2019 года, а среди целей ранее были организации в России, Беларуси и Казахстане, включая аэрокосмический сектор и тяжёлую промышленность.

Главная фишка атаки — минимум экзотики. Вместо редкого вредоноса используются легитимные инструменты: AnyDesk, Blat и переименованный WinRAR.

RSS: Новости на портале Anti-Malware.ru