В таких поддельных письмах находится вредоносное вложение либо ссылка на поддельный сайт digital-ministry[.]ru с таким файлом, иногда вложение выполнено в виде RAR-архива.
Вредоносные письма распространяются на адреса электронной почты в следующих доменах:
- mail.ru
- mvd.ru
- yandex.ru
- cap.ru
- minobr-altai.ru
- yandex.ru
- stavminobr.ru
- mon.alania.gov.ru
- astrobl.ru
- 38edu.ru
- mosreg.ru
- mo.udmr.ru
- minobrnauki.gov.ru
- 66.fskn.gov.ru
- bk.ru
- ukr.net
В качестве приманки злоумышленники используют некий документ Минцифры или Минсвязи с электронной подписью; при попытке просмотра получателю предлагают включить режим редактирования и активный контент.
Как оказалось, эти RTF-файлы содержат ссылку, по которой со стороннего сайта загружается эксплойт-файл HTML со скриптом. Последний запускает на исполнение встроенный в RTF-документ JavaScript. В результате отработки эксплойта на машину с помощью PowerShell загружается маячок CobaltStrike (putty.exe).