Компания F.A.C.C.T предупреждает о новой волне целевых фишинговых атак на пользователей государственных онлайн-сервисов. Злоумышленники рассылают поддельные письма от имени Минцифры России, в которых требуют срочно установить специальные сертификаты безопасности.
Аналитики Центра Кибербезопасности F.A.C.C.T утверждают, что рассылка велась 25 января методом спуфинга - подделки адреса отправителя под легитимный адрес Минцифры.
Аналитики Центра Кибербезопасности F.A.C.C.T утверждают, что рассылка велась 25 января методом спуфинга - подделки адреса отправителя под легитимный адрес Минцифры.
«С 30.01. 2024 у пользователей, не установивших на свои операционные системы сертификаты НУЦ Минцифры РФ, могут возникнуть проблемы с доступом, вплоть до полного его отсутствия, к таким сервисам как: Госуслуги, в онлайн банкинг, государственные ресурсы, и ряд других российских сервисов», - говорится в сообщении злоумышленников.
В отличие от типичных фишинговых писем, данные сообщения были оформлены профессионально и выглядели правдоподобно. Кнопка "Скачать" в письме вела на архив с загрузчиком, а в конце всей цепочки загружался стилер MetaStealer - разновидность известного вредоносного ПО RedLine Stealer.
Эксперты Центра Кибербезопасности пояснили, что MetaStealer — это шпионское ПО, нацеленное на кражу конфиденциальных данных с компьютера жертвы. Впервые оно появилось в 2022 году и распространяется через фишинговые рассылки.
Эксперты Центра Кибербезопасности пояснили, что MetaStealer — это шпионское ПО, нацеленное на кражу конфиденциальных данных с компьютера жертвы. Впервые оно появилось в 2022 году и распространяется через фишинговые рассылки.
В тексте письма также содержалась ссылка, при переходе по которой скачивается архив russian_trusted_ca_ms.cer.rar с вредоносного ресурса hXXps://wb4o[.]com/click?key=667d6c67929b40aa205b&sub1=user@example[.]ru, где вместо user@example[.]ru указывается реальный адрес электронной почты потенциальной цели атаки. Внутри архива находились два одинаковых исполняемых файла russian_trusted_root_ca.cer.exe и russian_trusted_sub_ca.cer.exe, маскирующихся под сертификаты безопасности. На самом же деле вместо сертификата с вредоносного ресурса в конечном итоге осуществляется загрузка шпионского ПО MetaStealer, которое собирает чувствительные данные с компьютера жертвы.
По данным экспертов компании, в последнее время MetaStealer активно использовалась хакерской группой Sticky Werewolf, однако, судя по особенностям этой атаки, за ней может стоять другая группа, поскольку стилер доступен в свободной продаже.
По данным экспертов компании, в последнее время MetaStealer активно использовалась хакерской группой Sticky Werewolf, однако, судя по особенностям этой атаки, за ней может стоять другая группа, поскольку стилер доступен в свободной продаже.
