Хакеры замаскировали фишинговую атаку под рассылку о штрафах ГИБДД

Хакеры замаскировали фишинговую атаку под рассылку о штрафах ГИБДД

Group-IB обнаружила фишинговую атаку, организаторы которой рассылают письма о штрафах ГИБДД, замаскированные под уведомления от портала госуслуг. Об этом RNS рассказали в пресс-службе компании, специализирующейся на предотвращении компьютерных преступлений.

Хакеры рассылают письма-уведомления якобы о наличии штрафа ГИБДД. К письму прикреплено фото автомобиля, совершающего нарушение. В шапке письма расположен логотип Электронного правительства. Также оно содержит отметку о проверке файлов на вирусы и об их отсутствии. Мошенники делают акцент на том, что получить 50%-ю скидку можно, только оплатив штраф в течение короткого времени, пишет rns.online.

Глава Group-IB Илья Сачков пояснил, что файл, прикрепленный к письму, является невредоносным. Но при нажатии на любой интерактивный раздел письма с гиперссылками происходит переход на фишинговый домен mail.ru-attachment-viewer.info. Целью фишинговых атак является сбор чувствительных данных для их последующей монетизации.

«Бренд "госуслуги", с учетом его популярности, постоянно находится под пристальным вниманием злоумышленников. За последний год наша система Threat intelligence зафиксировала более 1 тыс. скомпрометированных учетных записей пользователей этого портала. Мы прогнозируем увеличение количества атак на пользователей госуслуг», — сказал Сачков.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян SapphireStealer прятался в клоне листовки ЦИК о выборах президента

Команда киберразведки из компании F.A.C.C.T. обнаружила модифицированную версию вредоносной программы SapphireStealer в PDF-файле якобы от Центральной избирательной комиссии (ЦИК) с информацией о прошедших выборах Президента России.

Программа SapphireStealer является классическим трояном, способным перехватывать и отправлять операторам данные жертв. В новой кампании вредонос крал учётные данные из браузеров и Telegram.

Для распространения SapphireStealer киберпреступники использовали фейковый веб-ресурс, замаскированный под сайт правительства России. В F.A.C.C.T. считают, что такой же трюк злоумышленники могут использовать в Единый день голосования, который пройдёт 8 сентября 2024 года.

В сущности, SapphireStealer стал первым инфостилером, которого авторы выдали за официальные документы ЦИК. Об этой вредоносной программе мы писали в сентябре 2023 года, тогда в Сети нашлись модифицированные образцы SapphireStealer, использовавшие для отправки данных API Discord и Telegram.

В более свежих атаках операторы задействовали для распространения домен, выдающий себя за государственный ресурс. Как выяснила F.A.C.C.T., исходный код трояна два года назад выложили в одном из телеграм-каналов и на форуме zelenka.guru.

 

Вредоносный домен govermentu[.]ru злоумышленники зарегистрировали 29 января 2024 года. На нём располагался исполняемый файл «О предоставлении информации о предстоящих выборах.exe», засветившийся на VirusTotal 15 марта.

В качестве отвлекающего фактора при выполнении экзешника тот демонстрировал жертве документ-приманку «О предоставлении информации о предстоящих выборах.pdf».

 

В системе зловред прописывается в автозагрузку через планировщик задач Windows и время от времени обращается в командному серверу. Каждый пользователь получается свой идентификатор на основе processorID (процессор) и SerialNumber (системная плата).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru