Ранее неизвестная хакерская группа, имеющая финансовые мотивы, выдает себя за российское правительство в фишинговой кампании, нацеленной на организации в странах Восточной Европы.

Фишинговые электронные письма якобы исходят от Федеральной службы судебных приставов при правительстве России и написаны на русском языке, а получателями являются поставщики телекоммуникационных услуг и промышленные предприятия в Литве, Эстонии и России.

Конечная цель вредоносных писем — загрузить копию вредоносного ПО DarkWatchman на компьютеры жертвы, легковесную скрытую RAT на JavaScript (инструмент удаленного доступа) с кейлоггером C#.

Адрес отправителя имитирует подлинный адрес Минюста России, например, «mail@r77[.]fssprus[.]ru», а в теле письма тоже присутствует настоящая эмблема.

Тема электронных писем, как правило, является убедительной, что убедит получателя открыть вложение, которое представляет собой ZIP-архив с именем «Исполнительный лист XXXXXXX-22» или «Счет 63711-21 от 30.12.2021.zip».

«В содержании электронных писем присутствует идентичный русскоязычный текст с подробным описанием нескольких статей, связанных с исполнительным производством, связанным с Кунцевским районным судом г. Москвы, оставленных в силе «судебным приставом Межрайонного управления судебных приставов по исполнению решений налоговых органов», — поясняет IBM в своем отчете.

Прикрепленные ZIP-файлы содержат исполняемые файлы, которые загружают DarkWatchman вместе с копией зашифрованного кейлоггера.

Источник: secure news