Инфобез. Якутия

О вредоносной email-компании от имени Минцифры и Роскомнадзора


Эксперты Malwarebytes выявили вредоносную email-компанию, которая нацелена на получение удаленного доступа к компьютерам российских граждан и госструктур на ОС Windows. Злоумышленники от имени Минцифры, Минсвязи или Роскомнадзора в рассылаемых вредоносных письмах призывают получателей к бдительности и предлагают ознакомиться со списком заблокированных интернет-сайтов и сервисов.

В таких поддельных письмах находится вредоносное вложение либо ссылка на поддельный сайт digital-ministry[.]ru с таким файлом, иногда вложение выполнено в виде RAR-архива.

Вредоносные письма распространяются на адреса электронной почты в следующих доменах:
  • mail.ru
  • mvd.ru
  • yandex.ru
  • cap.ru
  • minobr-altai.ru
  • yandex.ru
  • stavminobr.ru
  • mon.alania.gov.ru
  • astrobl.ru
  • 38edu.ru
  • mosreg.ru
  • mo.udmr.ru
  • minobrnauki.gov.ru
  • 66.fskn.gov.ru
  • bk.ru
  • ukr.net

В качестве приманки злоумышленники используют некий документ Минцифры или Минсвязи с электронной подписью; при попытке просмотра получателю предлагают включить режим редактирования и активный контент.

Как оказалось, эти RTF-файлы содержат ссылку, по которой со стороннего сайта загружается эксплойт-файл HTML со скриптом. Последний запускает на исполнение встроенный в RTF-документ JavaScript. В результате отработки эксплойта на машину с помощью PowerShell загружается маячок CobaltStrike (putty.exe).


Источник