Шпионит и крадёт данные: новая вредоносная программа Zagrebator обнаружена в России

Под видом билетов на спортивные мероприятия и официальных документов злоумышленник FakeTicketer рассылает вредоносное ПО

Специалисты по кибербезопасности из F.A.C.C.T. обнаружили новую угрозу: рассылки на электронную почту от злоумышленника, которому присвоили кодовое имя FakeTicketer. Он отправляет жертвам уникальное вредоносное ПО: стилер, троян удалённого доступа (RAT) и дроппер с возможностью кражи данных из браузеров. Это семейство вредоносных файлов получило название Zagrebator.

Образец фальшивого электронного билета, который приходит жертве
Источник изображения F.A.C.C.T.

Электронные письма от FakeTicketer содержат вложение в виде архива, имя которого дублирует тему письма. Вложенный архив содержит исполняемый файл с аналогичным именем, связанным с легендой атаки. В качестве документа-приманки FakeTicketer использовал фальшивые билеты на спортивные мероприятия: например, на матчи футбольной премьер-лиги России, соревнования по водной гребле на байдарках и каноэ.

Злоумышленник использует самописное вредоносное ПО, что позволяет ему быть более скрытным и обходить определённые системы обнаружения в ходе эксплуатации цепочки атаки на заражённой системе. Исходя из функциональных возможностей вредоносного ПО, мы полагаем, что мотивация злоумышленника FakeTicketer – шпионаж. Исходя из обнаруженных декой-файлов, считаем, что его атаки нацелены, в том числе, на государственный сектор.

Артём Грищенко, ведущий специалист по анализу вредоносного кода департамента киберразведки компании F.A.C.C.T. Threat Intelligence

Осенью и в начале зимы FakeTicketer стал использовать в качестве приманки и официальные документы. В октябре это был скан школьного аттестата, в декабре – нормативные акты администрации города Симферополя. Вероятными целями злоумышленника специалисты по кибербезопасности видят российских спортивных функционеров и чиновников разного уровня.