Новости Электоральный процесс стал прикрытием для кражи личных данных россиян

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Как преступникам удалось спрятать SapphireStealer в легитимных документах ЦИК?


ptaum7h0pf7do140m33nx5e87f87yeqv.jpg


На фоне недавних президентских выборов в РФ, исследователями компании F.A.C.C.T. Для просмотра ссылки Войди или Зарегистрируйся мошенническая операция, распространяющая похититель данных, замаскированный под официальные документы ЦИК, включая избирательные бюллетени.

Открытие касается вредоносной программы под названием SapphireStealer, нацеленной на Windows и способной похищать учётные данные из веб-браузеров и десктопного клиента Telegram.

Особенно тревожит тот факт, что для распространения своего вредоносного ПО мошенники использовали поддельный сайт, имитирующий официальный ресурс Правительства РФ.

По данным исследователей, SapphireStealer начал своё распространение ещё до выборов. Вредоносная программа написана на C# и способна собирать данные о пользователе, делать снимки экрана и отправлять украденную информацию злоумышленникам через Telegram или электронную почту.

Примечательно, что исходный код этого инфостилера впервые появился в публичном доступе ещё в марте 2022 года, что указывает на его широкую доступность для киберпреступников.

Рассмотренная специалистами атака с использованием SapphireStealer была осуществлена через исполняемый файл под названием «О предоставлении информации о предстоящих выборах.exe». Этот файл не только активировал стилер, но и загружал дополнительную вредоносную нагрузку с серверов злоумышленников.

Для привлечения внимания жертв и усыпления их бдительности, одновременно с запуском вредоносной программы открывался легитимный PDF-документ, состоящий из нескольких страниц, непосредственно связанный с предстоящими (на тот момент) выборами.


8vzfe0jxbrt0leit4gym30516alz4zlp.png


Содержимое документа-приманки

Анализируя вредоносную операцию, эксперты отметили использование мошенниками сразу нескольких поддельных доменов: «govermentu[.]ru» и «supgov[.]ru», однако второй, судя по всему, так и не был применён в реальных атаках.

В Для просмотра ссылки Войди или Зарегистрируйся специалисты F.A.C.C.T. предоставили все технические детали вредоносного ПО, включая индикаторы компрометации и характеристики файла-приманки. Среди прочего, эксперты подчеркнули важность осведомлённости о таких угрозах и призвали к бдительности при обращении с подозрительными файлами и ссылками.

Несмотря на то, что выборы президента уже прошли, 8 сентября этого года российских граждан ждёт Единый день голосования. Не исключено, что злоумышленники, ответственные за эту атаку, захотят повторить свою вредоносную операцию в преддверии этого дня.
 
Источник новости
www.securitylab.ru

Похожие темы