Киберпреступники под видом мобилизационных повесток начали рассылать российским компаниям и банкам письма с вредоносной программой — трояном DarkWatchman RAT, сообщил Forbes со ссылкой на F.A.С.С.T. (компания в конце апреля выделилась из Group-IB).
Письма с вирусом были отправлены якобы от лица управления в структуре Минобороны, но адрес отправки был поддельным. В них говорилось, что получатели должны явиться в военкоматы для уточнения данных. Оригинал электронной повестки якобы находился в приложении к письму. Но на самом деле там были zip-архивы с exe-файлом — трояном, который позволил бы злоумышленникам получить удаленный доступ к устройству. Ранее этот троян уже использовался для разведки перед кибератакой, отмечают в F.A.С.С.T.
Речь идет о массовой почтовой рассылке — российские банки и бизнес, в том числе IT-компании, получили более 600 вредоносных писем. Получателями были в том числе HR-специалисты и секретари.
“При автоматическом анализе системой Business Email Protection exe-файлы были атрибутированы как троян удаленного доступа DarkWatchman RAT”, — говорится в сообщении F.A.С.С.T.
Ранее это вредоносное ПО было замечено в кампаниях группы Hive0117 и использовалось злоумышленниками в качестве разведывательного инструмента на первоначальной стадии атаки. Киберпреступники Hive0117 известны с февраля 2022 года, основной их мотив — деньги.
Добавим, о трояне DarkWatchman сообщали еще и в декабре 2021 года. Его отличительной особенностью стала “бесфайловая” техника, помогающая избежать обнаружения антивирусными средствами. Эксперты и ранее фиксировали рассылки, замаскированные под официальные сообщения, например, Федеральной службы судебных приставов при правительстве России. Электронные письма на русском языке были адресованы пользователям, работающих в телекоме, электронике и ИТ-промышленности Литвы, Эстонии и России.
Потенциальными жертвами нынешней атаки могут стать банки, ИТ-компании, предприятия малого и среднего бизнеса, предупредили в F.A.С.С.T.
Портал AntiMalware.ru отмечает, что злоумышленники грамотно выбрали время для кампании — масштабная рассылка фейковых повесток с трояном внутри происходит на фоне новостей о подписании президентом указа о призыве на военные сборы пребывающих в запасе.
С заботой о вашей безопасности, команда Origin Security
