Мошенники замаскировались под Следственный комитет

В середине августа мошенники запустили массовую рассылку фишинговых писем якобы от Следственного комитета России. Используя домены, максимально похожие на официальные доменные имена следственных органов, они рассылают письма с требованием ознакомиться с материалами уголовного дела. Такое письмо получил один из сотрудников «Ведомостей». Рассылку зафиксировали также представители компании «РТК-Солар» и «Лаборатории Касперского».

В письме, которое получил и сотрудник «Ведомостей», злоумышленники уведомляли получателей, что они проходят свидетелями по некоему уголовному делу, и просили сообщить о возможности присутствовать на заседании суда в очной форме. Отправителем письма был указан «старший следователь СКР по г. Москва Роман Анатольевич Дворников», а почтовый домен имитировал реальную почту сотрудников следственного комитета – @mail – server1 – sledcom.org вместо sledcom.ru. Также к письму была прикреплена вредоносная ссылка, которая якобы вела на карточку дела, но по факту активировала вредоносную программу.

Ссылка из письма ведет на файлообменный сервис, на котором размещена вредоносная программа, замаскированная под программное обеспечение для распознавания текста, уточнил заместитель директора центра мониторинга внешних цифровых угроз Solar AURA компании «РТК-Солар» Сергей Трухачев.

Это рассылка стилера, т. е. вредоносной программы для кражи учетных данных из браузеров, приложений и криптокошельков жертвы, уточняет руководитель Центра кибербезопасности F.A.C.C.T. (бывшая Group IB) Ярослав Каргалев.

Переход по ссылкам из этих сообщений приведет к скачиванию архива с вредоносным файлом-стилером, подтверждает руководитель группы защиты от почтовых угроз в «Лаборатории Касперского» Андрей Ковтун: «Он крадет пользовательские данные и отправляет их злоумышленникам».

Рассылка осуществляется адресно, отмечает Трухачев: злоумышленники берут персональные данные потенциальных жертв из ранее утекших из различных источников баз данных и обращаются к ним по имени и отчеству. В ряде случаев в письмах указываются паспортные данные и адреса регистрации, а фигурирующие в тексте номера уголовных дел являются настоящими и получены из открытых источников, добавляет он. Все это создает иллюзию взаимодействия с органом государственной власти и повышает шансы на то, что получатель письма запустит вредоносную программу, предупреждает эксперт.

В процессе анализа фишингового письма было установлено, что содержащиеся в нем данные относятся к масштабной утечке, произошедшей в 2022 г., утверждает Трухачев. База какой компании используется для рассылки, он не раскрыл. По его словам, общее количество опубликованных записей достигло 30 млн, включая более 6 млн уникальных электронных почт, среди которых 78 000 принадлежат корпоративным доменам. То есть все эти адресаты потенциально являются получателями данной рассылки, следует из ответа эксперта Solar AURA.

С середины августа «Лаборатория Касперского» отследила около 1000 подобных сообщений, говорит Ковтун. Предыдущая волна этой рассылки прошла в начале августа, добавляет он: в ней вредонос распространялся с помощью другого сервиса для хранения файлов.

По словам Ковтуна, попытки мимикрировать под государственные структуры встречаются в последние годы довольно часто. Например, активно применяет подобную технику хакерская группа XDSpy, приводит пример эксперт. В частности, в начале июля XDSpy атаковала российские организации от имени МЧС, сообщал тогда РБК со ссылкой на данные F.A.C.C.T. 1 августа компания BI.Zone предупредила интернет-пользователей о рассылке, в которой под видом уведомлений от Роскомнадзора злоумышленники распространяли стилер White Snake – вредоносное ПО для кражи паролей и других данных с зараженного устройства.

Схема, использованная в данной атаке, не является новой, подтверждает Трухачев. Правоохранительные органы не оповещают о процессуальных действиях посредством электронной почты, напоминает он.

Злоумышленники систематически используют фишинговые письма для доступа к конфиденциальным данным или внедрения вредоносного программного обеспечения, говорит Трухачев. «Важно отметить, что данная схема претерпела некоторые изменения, – объясняет эксперт. – Ранее злоумышленники вкладывали вредоносные ZIP-файлы непосредственно в письма, однако в связи с ужесточением мер безопасности подобные сообщения теперь скорее всего будут автоматически фильтроваться как спам. Поэтому в новой версии атаки злоумышленники вместо привычных вложений вставляют ссылки на файлообменники, через которые предполагаемая жертва загрузит вредоносное содержимое».

С начала 2023 г. с фишингом столкнулось больше половины россиян, сообщали «Ведомости» в начале августа со ссылкой на данные исследования, проведенного компанией «МТС Red». При этом 35% респондентов заявили, что получают фишинговые рассылки два или более раза в месяц. Чаще всего невнимательные пользователи откликались на предложение мошенников инвестировать в акции или проекты с высокой доходностью.