ФНС России предупреждает о фишинговых рассылках от своего имени

ФНС России предупреждает о фишинговых рассылках от своего имени

Юридические лица и государственные учреждения стали основными целями новой фишинговой кампании, в ходе которой злоумышленники ведут рассылку электронных писем от имени Федеральной налоговой службы (ФНС).

Киберпреступную операцию зафиксировали специалисты центра CERT-GIB, принадлежащего компании Group-IB. Рассылаемые письма маскируются под вызов в орган исполнительной власти.

На самом же деле атакующие пытаются установить на компьютер жертвы вредоносную программу, позволяющую удалённо управлять заражённым устройством.

Как полагают эксперты, кампания стартовала 27 июля. Всем организациям, попавшим в поле зрения киберпреступников, приходило одинаковое письмо. В адресе отправителя было указано — [email protected], что соответствует официальному домену ФНС.

Таким способом, подделывая технические заголовки, атакующие вводили получателей в заблуждение. На самом же деле письма отправлялись с публичных почтовых сервисов.

В письме от адресата требовали явиться в «Главное Управление ФНС России», чтобы «дать показания по движению денежных средств». При этом нужно распечатать и заполнить документы, прикреплённые к письму во вложении.

Если получатель проигнорирует письмо, злоумышленники грозили предусмотренным УК РФ наказанием.

 

Представители ФНС России ещё раз подчеркнули, что эти письма не имеют никакого отношения к налоговой службе. Более того, налогоплательщикам никогда не направляют писем о наличии задолженности на электронный ящик.

Однако эксперты CERT-GIB обращают внимание на высокое качество фишинговых рассылок. К вредоносным письмам прикреплён архив «zapros-dokumentov.rar», содержащий ещё один запароленный архив. Пароль находился в соседнем текстовом файле.

Если получатель запускал файл из вложения, на компьютер устанавливалась легитимная программа для удалённого администрирования и управления компьютером.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В Drupal устранили новый баг библиотеки PEAR Archive_Tar

Разработчики Drupal вновь внесли изменения в ядро CMS-системы: в используемой ею библиотеке PEAR Archive_Tar объявилась еще одна уязвимость, и исправленная версия уже вышла. Заплатки для Drupal тоже готовы, пользователям CMS версии 7 и веток 8.9, 9.0, 9.1 предлагают произвести обновление.

Согласно записи в базе данных уязвимостей Национального института стандартов и технологии США (NIST), проблема, зарегистрированная как CVE-2020-36193, похожа на CVE-2020-28948, которую команда Drupal устранила в ноябре. Она тоже позволяет выполнить на сервере вредоносный PHP-код через загрузку файла в формате .tar, .tar.gz, .bz2 или .tlz.

Причиной появления уязвимости является неадекватная проверка символических ссылок (симлинков), что открывает возможность для выполнения операций записи за пределами каталога ресурса. Степень опасности бреши разработчики оценили в 18 баллов из 25 возможных в соответствии с системой оценки, рекомендованной NIST.

Патчи для поддерживаемых версий CMS-системы включены в состав сборок 7.78, 8.9.13, 9.0.11 и 9.1.3. Разработчики напоминают, что версии Drupal 8 ниже 8.9.x сняты с поддержки, и патчи для них перестали выпускаться. В качестве альтернативной меры защиты пользователи могут запретить загрузку файлов названных форматов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru