«Лаборатория Касперского»: мошенники закидывают госорганы и крупные компании России фишинговыми письмами

Дата: 18.07.2022. Автор: Артем П. Категории: Новости по информационной безопасности
«Лаборатория Касперского»: мошенники закидывают госорганы и крупные компании России фишинговыми письмами
Изображение: Mika Baumeister (unsplash)

«Лаборатория Касперского» рассказала о выявлении и последующей блокировке сразу нескольких вредоносных рассылок, которые осуществлялась в отношении российских госструктур и крупных организаций.

В рамках таких рассылок сотрудники госучреждений и компаний получают фишинговые email-письма с прикрепленными файлами. Тексты внутри письма составляются киберпреступниками в соответствии с отраслью деятельности конкретной организации и актуальной новостной повесткой. В ряде случаев хакеры пользуются неизвестными ранее вариантами вредоносного ПО и приёмами, которые делают сложнее процессы выявления вредоносных email-писем защитным софтом.

В «Лаборатории Касперского» отмечают, что вредоносные рассылки летом 2022 года были зарегистрированы якобы от имени сотрудников разных министерств. Такие письма рассылались множеству групп получателей с доменами в госструктурах и ведомствах.

В каждом из таких фишинговых писем был прикрепленный файл, имеющий вид текстового документа с потенциально интересной получателю информацией. К примеру, в одной из вредоносных рассылок распространялся RTF-файл, в котором якобы были приведены комментарии по какой-то таблице. Этот файл содержал в себе вредоносный код, эксплуатирующий уязвимость в редакторе формул Microsoft Office Equation Editor. Эксплуатация этой уязвимости, по сути, позволяла киберпреступникам запускать на устройстве жертвы произвольный код и исполняемые файлы.

В «Лаборатории Касперского» выделили повышенный уровень правдоподобности таких мошеннических писем. Адреса отправителей имели ту же логику создания почтовых адресов, как это происходит в соответствующих госучреждениях, но с одним исключением – домены приходились на сторонние почтовые сервисы, которые на территории РФ распространения не имеют. Подобный приём называется спуфингом.

На фейковость email-письма указывали и другие признаки. В частности, в теме письма злоумышленники упоминали человека, который действительно работал в госструктуре ранее, но на момент отправки письма уже не состоял в штате. Помимо этого, перечни получателей письма были крайне обширными и многообразными, что должно было вызывать подозрения у внимательных пользователей.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *