Злоумышленники распространяют вредоносное ПО, используя фишинговые темы, связанные с вторжением в Украину, с целью заражения своих целей троянами удаленного доступа (RAT), такими как Agent Tesla и Remcos.
Распространители вредоносного ПО обычно пользуются глобальными тенденциями, чтобы обманом заставить получателя открыть вложения электронной почты, и в настоящее время нет ничего, что привлекает больше внимания, чем вторжение России в Украину.
Используя эту тему, злоумышленники отправляют вредоносные электронные письма, которые устанавливают RAT на целевые системы для получения удаленного доступа, кражи конфиденциальной информации, проведения сетевой разведки, отключения программного обеспечения безопасности и, как правило, подготовки почвы для более мощных полезных нагрузок.
Отчет о последних вредоносных операциях поступил от Bitdefender Labs, чьи исследователи отслеживали две отдельные фишинговые кампании с 1 марта 2022 года.
Ориентация на производителей
Украина является центром производства различных деталей, и нынешний конфликт вынудил заводы закрыться, что неизбежно привело к проблемам с цепочками поставок и дефициту.
Первая кампания, обнаруженная Bitdefender, пытается использовать эти риски, ориентируясь на производителей с вложением ZIP, которое предположительно содержит анкету, которую они должны заполнить, чтобы помочь своим клиентам разработать планы резервных поставок.
Однако ZIP-архив содержит Agent Tesla RAT, который в прошлом активно использовался в различных фишинговых кампаниях.
Большинство (83%) фишинговых писем в этой кампании были отправлены из Нидерландов, в то время как цели базируются в Чехии (14%), Южной Корее (23%), Германии (10%), Великобритании (10%). и США (8%).
Фальшивая задержка заказа
Вторая кампания представляет собой выдачу себя за южнокорейскую медицинскую компанию, производящую системы диагностики in vitro.
В сообщении для получателей утверждается, что все заказы были приостановлены из-за ограничений на полеты и доставку из Украины.
Прилагаемый документ Excel предположительно содержит более подробную информацию о заказе, но на самом деле это файл с макросами, который использует всегда популярную четырехлетнюю ошибку редактора формул Microsoft Office, отслеживаемую как уязвимость CVE-2017-11882, для доставки Remcos RAT.
89% этих писем приходят с немецких IP-адресов, а получатели находятся в Ирландии (32%), Индии (17%) и США (7%).
Мошенничество с крипто-пожертвованиями набирает обороты
Bitdefender также сообщает о резком росте числа мошенников, которые пытаются убедить пользователей, что они являются законными благотворительными организациями, собирающими пожертвования для Украины.
Эти мошенничества особенно участились: злоумышленники выдают себя за украинское правительство, ЮНИСЕФ, Украинский фонд помощи в кризисных ситуациях и т.п..
Вот несколько примеров тем, используемых мошенниками в таких письмах:
Иван Ковалев
VIAПостоянное развитие технологий приводит к выпуску все более мощных и производительных ноутбуков. Тем не менее, не все
Безмешковые пылесосы продолжают набирать популярность среди современных хозяек. Но при этом многие нередко сомневаются
Определенно гарнитура HyperX Cloud Stinger впечатляет, прежде всего, не качеством своего звучания, а как раз
