Новости PyCrypter атакует российские компании под видом криптообменника с VPN

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.795
Реакции
61.958
RUB
50
Злоумышленники массово рассылают вредоносные письма, пытаясь поразить российские организации сфер промышленности, транспорта и ИТ.


Задача киберпреступников — донести шифровальщик PyCrypter под видом криптовалютного обменника с VPN. Об атаках рассказали специалисты Центра кибербезопасности F.A.C.C.T.

По их словам, система Business Email Protection перехватила злонамеренные письма 9 июля. Адресатам навязывают приложение CryptoBOSS, которое нужно для работы с цифровой валютой и VPN.

pycrypter_news.png


Пример письма выглядит так:

1photo_2023-07-11_10-38-25.jpg


Получателя пытаются купить на «безопасный и полностью анонимный доступ ко всем валютам». Скачивая бесплатную лицензию, сотрудники компаний загружают в систему программу-вымогатель PyCrypter.

Вредонос грузится с домена crypto4boss[.]com, который зарегистрирован буквально на днях — 6 июля. В F.A.C.C.T. отметили, что домен создавал человек с почтой vladymir.stojanov@hotmail(ссылка для отправки email)[.]com. Кстати, аккаунт Vladimir Stoyanov уже использовался осенью 2022 года и весной 2023-го для распространения другого шифровальщика — Cryptonite.

В тот раз изобретательные киберпреступники предупреждали об атаке шпионского софта, разработанного американскими специалистами. Рассылки велись от имени Михаила Мишустина.

2photo_2023-07-11_10-38-25_2.jpg


Эксперты F.A.C.C.T. поделились индикаторами компрометации свежей атаки:

Domain:

crypto4boss[.]com
Relevant sample SHA-256:
crypto4bossetup.exe - 2867f0ae09b771bcd9ad56b77eb5b9b2e6c4f4ce826a55a35d28dbbf88bd2392

Напомним, на прошлой неделе F.A.C.C.T. запустила круглосуточный Центр кибербезопасности.

 
Злоумышленники рассылают вредоносные письма, притворяясь криптовалютным обменником с VPN. Они стремятся внедрить в систему шифровальщик PyCrypter. Атаки были обнаружены 9 июля, когда система Business Email Protection перехватила вредоносные письма. В этом случае отправителем является новый домен crypto4boss[.]com, зарегистрированный 6 июля. Ранее тот же отправитель использовал другой шифровальщик Cryptonite, разославшийся от имени Михаила Мишустина. Эксперты Центра кибербезопасности F.A.C.C.T. предоставили информацию о домене и хэш-сумме для обнаружения данной атаки.
 
Защищаться надобно.
 

Похожие темы

Ответы
20
Просмотры
22K
Сверху Снизу