Компания Group-IB, специализирующаяся на предотвращении кибератак, зафиксировала рассылку ПО в адрес российских финансовых, промышленных и госкомпаний для кражи их паролей. Письма приходили от имени ректора МГУ.
Рассылка проводилась с 9 по 16 сентября. В теме письма значилось «Запрос коммерческого предложения». Отмечается, что в качестве отправителей фейковых писем были указаны электронные почты: admin@msu.ru и admin@rector.msu.ru. В действительности письма уходили со скомпрометированного почтового сервера португальского отеля Hotel Afonso V в городе Авейру. Об этом сообщает РИА «Новости» со ссылкой на представителя Group-IB.
«В письме злоумышленники от имени ректора Виктора Садовничего просят получателей ознакомиться с прикрепленным документом – описанием бюджета на 2020 год – и оперативно выслать свое коммерческое предложение», – комментирует замруководителя Центра быстрого реагирования на инциденты кибербезопасности Group-IB Ярослав Каргалев.
Он добавил, что все письма содержали .zip архив с именем «Запрос коммерческого предложения» с исполняемым файлом .exe внутри. При его запуске на компьютер устанавливалась вредоносная программа, предназначенная для кражи с зараженного компьютера логинов и паролей.
В дальнейшем злоумышленники могут использовать их для получения доступа к почтовым аккаунтам или криптокошелькам. Полученные данные могут быть использованы для финансового мошенничества, шпионажа или продажи на хакерских форумах.
Изображение: pixabay.com