Злоумышленники подделывают правительственные уведомления для распространения вредоносного ПО

image

Теги: фишинг, фишинговая кампания, вредоносное ПО, похищение данных

Для того чтобы не вызывать подозрений у жертв, злоумышленники подделывают письма под выпущенные правительственными организациями уведомления о нововведениях в законодательстве.  

Эксперты из ИБ-компании SophosLabs сообщили о новой весьма необычной вредоносной кампании. С помощью искусно подделанных электронных писем якобы от Министерства труда США злоумышленники распространяют банковское вредоносное ПО Vawtrak.

Для того чтобы успешно обходить спам-фильтры и не вызывать ни малейших подозрений у жертв, злоумышленники подделывают фишинговые письма под выпущенные правительственными организациями уведомления о нововведениях в законодательстве. Наряду с другими ведомствами Министерство труда США рассылает заинтересованным сторонам бюллетени с перечислением новых правил. Это очень удобно, поскольку позволяет все время быть в курсе новых законов и освобождает от необходимости прочитывать тонны законодательных актов.

К сожалению, такие уведомления являются лакомым кусочком для мошенников, которые мастерски копируют их для распространения вредоносного ПО. В случае с уведомлением от Министерства труда США, рассылаемом в прошлом месяце, злоумышленники подделали его таким образом, чтобы вынудить жертву загрузить на свой компьютер вредоносное ПО.

Сообщение содержит ссылку на якобы PDF-документ, скачав который, можно ознакомиться с нововведениями в сфере здравоохранения. Примечательно, что он размещается не на сервере dol.gov, где хранятся настоящие документы Министерства труда США, а на сервере, принадлежащем турецким компаниям в сфере питания.

Судя по используемым злоумышленниками URL-адресам, можно сделать вывод, что их «документ» находится в субдиректории на сервере, принадлежащем плагину WordPress. Файл PDF, который предлагается скачать, имеет имя health_​coverage_​webcast.pdf. Но это только название файла, без указания расширения. Имя файла с расширением выглядит следующим образом: health_coverage_webcast.pdf.scr. Расширение .SCR обычно предполагает скринсейвер, однако никакой заставки документ в действительности не содержит. Вместо нее в документе находится загрузчик вредоносного ПО Vawtrak.

По данным SophosLabs, операторы ботнета Vawtrak могут по своему усмотрению распоряжаться результатами его активности (так называемая бизнес-модель Crimeware-as-a-Service), например, продавать похищенные банковские данные. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.