Специалисты по кибербезопасности из F.A.C.C.T. обнаружили новую угрозу: рассылки на электронную почту от злоумышленника, которому присвоили кодовое имя FakeTicketer. Он отправляет жертвам уникальное вредоносное ПО: стилер, троян удалённого доступа (RAT) и дроппер с возможностью кражи данных из браузеров. Это семейство вредоносных файлов получило название Zagrebator.
Электронные письма от FakeTicketer содержат вложение в виде архива, имя которого дублирует тему письма. Вложенный архив содержит исполняемый файл с аналогичным именем, связанным с легендой атаки. В качестве документа-приманки FakeTicketer использовал фальшивые билеты на спортивные мероприятия: например, на матчи футбольной премьер-лиги России, соревнования по водной гребле на байдарках и каноэ.
Злоумышленник использует самописное вредоносное ПО, что позволяет ему быть более скрытным и обходить определённые системы обнаружения в ходе эксплуатации цепочки атаки на заражённой системе. Исходя из функциональных возможностей вредоносного ПО, мы полагаем, что мотивация злоумышленника FakeTicketer – шпионаж. Исходя из обнаруженных декой-файлов, считаем, что его атаки нацелены, в том числе, на государственный сектор.
Артём Грищенко, ведущий специалист по анализу вредоносного кода департамента киберразведки компании F.A.C.C.T. Threat Intelligence
Осенью и в начале зимы FakeTicketer стал использовать в качестве приманки и официальные документы. В октябре это был скан школьного аттестата, в декабре – нормативные акты администрации города Симферополя Республики Крым. Вероятными целями злоумышленника специалисты по кибербезопасности видят российских спортивных функционеров и чиновников разного уровня.
Заражённое сетевое оборудование на узловых станциях могло стать причиной сбоя Рунета
Мошеннические сети: с помощью IT-технологий совершается почти 40% киберпреступлений в России