Ранее неизвестная хакерская группа, имеющая финансовые мотивы, выдает себя за российское правительство в фишинговой кампании, нацеленной на организации в странах Восточной Европы.
Фишинговые электронные письма якобы исходят от Федеральной службы судебных приставов при правительстве России и написаны на русском языке, а получателями являются поставщики телекоммуникационных услуг и промышленные предприятия в Литве, Эстонии и России.
Конечная цель вредоносных писем — загрузить копию вредоносного ПО DarkWatchman на компьютеры жертвы, легковесную скрытую RAT на JavaScript (инструмент удаленного доступа) с кейлоггером C#.
Адрес отправителя имитирует подлинный адрес Минюста России, например, «mail@r77[.]fssprus[.]ru», а в теле письма тоже присутствует настоящая эмблема.
Тема электронных писем, как правило, является убедительной, что убедит получателя открыть вложение, которое представляет собой ZIP-архив с именем «Исполнительный лист XXXXXXX-22» или «Счет 63711-21 от 30.12.2021.zip».
«В содержании электронных писем присутствует идентичный русскоязычный текст с подробным описанием нескольких статей, связанных с исполнительным производством, связанным с Кунцевским районным судом г. Москвы, оставленных в силе «судебным приставом Межрайонного управления судебных приставов по исполнению решений налоговых органов», — поясняет IBM в своем отчете.
Прикрепленные ZIP-файлы содержат исполняемые файлы, которые загружают DarkWatchman вместе с копией зашифрованного кейлоггера.
