Эксперты зафиксировали рассылку ПО для кражи паролей под видом писем от ректора МГУ

Технологии

 

МОСКВА, 16 сен — ПРАЙМ. Международная компания Group-IB, специализирующаяся на предотвращении кибератак, зафиксировала рассылку программы для кражи паролей под видом писем от ректора МГУ, рассказал РИА Новости заместитель руководителя Центра быстрого реагирования на инциденты кибербезопасности (CERT-GIB) Ярослав Каргалев.

Рассылка проводилась с 9 по 16 сентября в адрес финансовых, промышленных и государственных организаций России. В теме письма стояло «Запрос коммерческого предложения».

В фейковых письмах отправителем указаны admin@msu.ru или admin@rector.msu.ru, но в действительности письма уходили со скомпрометированного почтового сервера португальского отеля «Hotel Afonso V» в городе Авейру. Аналитики CERT-GIB оповестили администрацию отеля о взломе.

«В письме злоумышленники от имени ректора Виктора Садовничего просят получателей ознакомиться с прикрепленным документом — описанием бюджета на 2020 год — и оперативно выслать свое коммерческое предложение», — сообщил Каргалев.

Все письма содержали.zip архив с именем «Запрос коммерческого предложения» с исполняемым файлом.exe внутри. «При запуске на компьютер устанавливалась вредоносная программа из семейства Loki PWS, предназначенная для кражи с зараженного компьютера логинов и паролей. В дальнейшем злоумышленники могут использовать их для получения доступа к почтовым аккаунтам или криптокошелькам, для финансового мошенничества, шпионажа или продать похищенные данные на хакерских форумах», — отметил он.

«Сами письма написаны довольно безграмотно, со стилистическими ошибками, порядок слов и предложений указывает на машинный перевод. Ученая степень ректора указана неверно: Садовничий — не доктор философии, а доктор физико-математических наук. В футоре письма содержатся ссылки, большая часть из которых ведёт не на ресурсы МГУ, а на ресурсы Белградского университета. Судя по всему, злоумышленники поленились поменять или проверить перед рассылкой все ссылки в шаблоне, что свидетельствует о подобных атаках от имени других иностранных университетов», — добавил эксперт.

 

Источник: https://1prime.ru/telecommunications_and_technologies/20200916/832034614.html

Оцените статью
Milkandsnow: Москва сегодня
Добавить комментарий