Sticky Werewolf получает доступ к системам государственных организаций России и Беларуси с помощью фишинговых писем со ссылками на вредоносные файлы. Для создания ссылок используется коммерческое вредоносное ПО. По данным киберразведки BI.ZONE, Sticky Werewolf активна как минимум с апреля 2023 года и к настоящему времени осуществила не менее 30 атак.
Ссылки для фишинговых писем злоумышленники создают с помощью сервиса IP Logger. Он позволяет собирать информацию о кликнувших пользователях: время перехода, IP-адрес, страну и город, версию браузера и операционную систему. Это помогает Sticky Werewolf сразу провести базовое профилирование, отсеять системы, которые не представляют для них интереса, и сосредоточить атаки на наиболее приоритетные.
Кроме того, благодаря IP Logger группировка может использовать собственные доменные имена при создании ссылок. Это затрудняет распознавание фишинга, поскольку адрес не выглядит подозрительно.
Ссылки в письмах ведут на вредоносные файлы с расширением .exe или .scr, замаскированные под документы Word или PDF. Открыв файл, жертва видит ожидаемый контент, например: экстренное предупреждение МЧС, исковое заявление или предписание об устранении нарушений. В это время в фоновом режиме на устройство устанавливается коммерческое вредоносное ПО NetWire RAT. Оно позволяет атакующим собирать информацию о скомпрометированной системе, получать данные о нажатиях клавиш, видео с экрана и веб-камеры, записывать звук микрофона и осуществлять другие действия с целью шпионажа.
NetWire копируется на устройство во временную папку под видом легитимного приложения. Чтобы дополнительно затруднить его обнаружение, Sticky Werewolf использует протектор Themida, который обеспечивает обфускацию — противодействие анализу вредоносной активности.
Олег Скулкин, руководитель управления киберразведки BI.ZONE:
Коммерческое вредоносное ПО предоставляет злоумышленникам широкие возможности за умеренную цену. Именно поэтому оно пользуется большим спросом среди киберпреступников и иностранных проправительственных группировок. Примечательно, что такие программы активно используются даже после ареста их разработчиков.
Ранее BI.ZONE опубликовала исследование, посвященное атакам на российские компании с использованием утечек программ-вымогателей, а также рассказала о случаях распространения вредоносного ПО под видом требований Роскомнадзора.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.