Шпионы XDSpy угрожают российским компаниям от имени МЧС

Шпионы XDSpy угрожают российским компаниям от имени МЧС

Шпионы XDSpy угрожают российским компаниям от имени МЧС

Вчера специалисты F.A.C.C.T. зафиксировали рассылку вредоносных писем от киберпреступной группировки XDSpy, нацеленную на российские организации. Известно, что эта группа специализируется на шпионаже.

Детектировать фишинговые письма помогла система F.A.С.С.T. Managed XDR. Среди потенциальных жертв киберпреступников был один из известных научно-исследовательских институтов.

Для привлечения внимания мошенники используют интересную уловку: получателям предлагают посмотреть список сотрудников компании, которые связаны или симпатизируют группам, дестабилизирующим ситуацию в России.

Здесь хорошо работает рычаг угрозы, поскольку в случае отсутствия ответа злоумышленники обещают компании юридические меры. Пример вредоносного письма от имени МЧС выглядит так (скриншот F.A.С.С.T.):

 

В качестве того самого списка во вложении прикладывается файл в формате PDF — Spisok_rabotnikov.pdf. Само собой, помимо перечня абсолютно случайных людей, на компьютер жертвы загружается шпионский софт. Программа собирает все конфиденциальные данные и документы, до которых может дотянуться на устройстве.

Напомним, на днях специалисты Центра кибербезопасности F.A.C.C.T. выявили активность шифровальщика PyCrypter, атакующего российские компании под видом криптовалютного обменника с VPN.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

VirusTotal выявил сотни вредоносных SVG в новой фишинг-кампании

Киберпреступники активно эксплуатируют известный способ обойти защиту: для атак они начали использовать SVG-файлы. По данным VirusTotal, злоумышленники рассылают такие вложения в письмах под видом сообщений от колумбийской Генпрокуратуры.

На первый взгляд это обычная картинка, но внутри спрятан JavaScript-код. При открытии он разворачивает поддельную HTML-страницу, которая маскируется под официальный портал Fiscalía General de la Nación.

Пользователю показывают якобы процесс скачивания документа с прогресс-баром, а в это время в фоне загружается ZIP-архив. Что именно в архиве — пока не раскрывается.

Исследователи отмечают, что злоумышленники активно используют обфускацию, полиморфизм и мусорный код, чтобы антивирусы не могли распознать угрозу. С начала кампании, то есть с 14 августа 2025 года, обнаружено уже более 500 вредоносных SVG-файлов, причём их размер со временем сокращался — это говорит о доработке и оптимизации атак.

Параллельно эксперты Trend Micro предупреждают о росте атак на macOS. Там в ходу инфостилер AMOS (Atomic macOS Stealer), который распространяется через сайты со «взломанным» ПО. Жертв заманивают на поддельные страницы с инструкциями: достаточно выполнить curl-команду в Terminal, и на компьютер загружается вредонос. AMOS способен воровать пароли, криптокошельки, переписки в Telegram, заметки и даже содержимое keychain.

Apple старается закрыть брешь: с выходом macOS Sequoia попытки установить неподписанные .dmg блокируются системой Gatekeeper. Но злоумышленники быстро перестроились и делают ставку на обход через Terminal. Эксперты подчеркивают: рассчитывать только на встроенную защиту нельзя, необходима многоуровневая стратегия безопасности.

А ещё на прошлой неделе стало известно о масштабной кампании против геймеров, ищущих читы. Там злоумышленники задействуют StealC и криптоворы, уже заработавшие свыше $135 тыс. на украденных активах.

Ранее мы сообщали, что SVG-файлы используют для кражи паролей от аккаунтов в Google и Microsoft.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru