Новости MetaStealer от Минцифры: хакеры маскируют вредоносное ПО под сертификаты безопасности

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
55.044
Репутация
62.940
Реакции
277.294
RUB
0
Фишинговые атаки в России достигают нового уровня изощренности.

image



Компания F.A.C.C.T о новой волне целевых фишинговых атак на пользователей государственных онлайн-сервисов в России. Злоумышленники рассылают поддельные письма якобы от Минцифры России с требованием срочно установить специальные сертификаты безопасности.

По информации аналитиков Центра Кибербезопасности F.A.C.C.T., рассылка велась 25 января методом спуфинга — подделки адреса отправителя под легитимный адрес Минцифры.

«С 30.01. 2024 у пользователей, не установивших на свои операционные системы сертификаты НУЦ Минцифры РФ, могут возникнуть проблемы с доступом, вплоть до полного его отсутствия, к таким сервисам как: Госуслуги, в онлайн банкинг, государственные ресурсы, и ряд других российских сервисов», - говорится в сообщении злоумышленников.

awf0lybx2pjbo50ca5sgs9uxx5q6faq1.png


В отличие от типичных фишинговых писем, данные сообщения были оформлены профессионально и выглядели правдоподобно. Кнопка «Скачать» в письме вела на архив с загрузчиком, а в конце всей цепочки загружался стилер MetaStealer (разновидность известного вредоносного ПО RedLine Stealer).

«MetaStealer - шпионское ПО, нацеленное на кражу конфиденциальных данных с компьютера жертвы. Впервые появилось в 2022 году и распространяется через фишинговые рассылки», - пояснили в Центре Кибербезопасности.

В тексте письма также содержалась ссылка, при переходе по которой скачивается архив russian_trusted_ca_ms.cer.rar с вредоносного ресурса hXXps://wb4o[.]com/click?key=667d6c67929b40aa205b&sub1=user@example[.]ru, где вместо user@example[.]ru указывается реальный адрес электронной почты потенциальной цели атаки. Внутри архива находились два одинаковых исполняемых файла russian_trusted_root_ca.cer.exe и russian_trusted_sub_ca.cer.exe, маскирующихся под сертификаты безопасности. На самом же деле вместо сертификата с вредоносного ресурса в конечном итоге осуществляется загрузка шпионского ПО MetaStealer, которое собирает чувствительные данные с компьютера жертвы.

По данным экспертов компании, в последнее время MetaStealer активно использовалась хакерской группой Sticky Werewolf, однако, судя по особенностям этой атаки, за ней может стоять другая группа, поскольку стилер доступен в свободной продаже.











 
Сверху Снизу