Хакеры начали рассылать фальшивые правки к техническим заданиям, чтобы красть данные сотрудников компаний

Хакеры используют новую схему для атак на российские организации, рассылая фишинговые письма, замаскированные под деловую переписку. В письмах содержится вредоносный архив с якобы «правками к техническому заданию», при открытии которого происходит заражение устройства. Об этом сообщили специалисты компании Angara Security.

Эксперты отдела реагирования и цифровой криминалистики Angara MTDR зафиксировали, что за новой волной атак стоит хакерская группировка Rare Werewolf. Ранее она была известна под именами Rare Wolf, Librarian Ghouls, Librarian Likho и Rezet. С конца 2024 года эта группировка возобновила активную кампанию, нацеленную на организации в России, Беларуси и Казахстане.

Письма оформлены как служебные уведомления о внесении изменений в техническую документацию. Вложение — зашифрованный архив, якобы содержащий документ «Техническое задание №119843-28 Исх. N_3435». На деле внутри находится исполняемый файл с расширением .scr, стилизованный под PDF.

После открытия файла устройство пользователя оказывается заражено. На него загружаются несколько вредоносных компонентов, в том числе программа для отправки похищенных данных по электронной почте и инструмент для удалённого доступа. Злоумышленники получают постоянный контроль над системой, собирают логины, пароли, документы и переписку, включая данные из десктопной версии Telegram.

Как пояснила руководитель отдела реагирования Angara MTDR Лада Антипова, все вредоносные файлы автоматически удаляются после выполнения своих задач. Это затрудняет обнаружение атаки и последующий анализ заражённой системы.

Эксперты предупреждают, что действия Rare Werewolf могут быть нацелены как на получение коммерческой информации, так и на подготовку дальнейших атак. Использование маскировки под внутренние документы повышает эффективность фишинга, особенно в организациях, где сотрудники регулярно работают с техническими заданиями.