«Как вам такое»: фишинг под маской политики выманивает деньги

19.05.2025

В мае 2025 года обнаружена новая изощрённая вымогательская кампания RansomDOGE, нацеленная на сторонников Илона Маска. Ирина Дмитриева, киберэксперт и инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис», рассказала, что атака развивается с классического хода социальной инженерии — жертве приходит письмо с PDF-файлом, якобы содержащим информацию о корректировке зарплаты.

«Открытие этого файла запускает цепочку событий, приводящих к заражению системы вымогательским ПО Fog Ransomware», — поясняет киберэксперт. Схема атаки включает в себя перенаправление на сервер Netlify, загрузку ZIP-архива с вредоносным ярлыком и выполнение серии PowerShell-скриптов.

«Первый скрипт (‘Pay.ps1’) загружал компоненты, включая ‘stage1.ps1’ и ‘trackerjacker.ps1’. Последний использовал XOR-обфускацию для сокрытия от обнаружения и выполнял разведку системы. Дополнительно скрипт ‘lootsubmit.ps1’ собирал геолокационные данные с помощью API WIGLE (Wireless Geographic Logging Engine). Основной вредоносный компонент, ‘cwiper.exe’, шифровал файлы жертвы, а ‘ktool.exe’ использовал уязвимость в драйверах Intel для получения доступа на уровне ядра», — добавила Ирина Дмитриева.

Особенностью атаки, по рассказу Дмитриевой, была насмешливая записка с требованием выкупа, подписанная именем «Эдвард Користин», связанным с криптовалютой DOGE. Записка содержала сатирические комментарии в адрес сторонников Маска и указывала правительственные электронные адреса в качестве контактов для поддержки. При запуске вредоносного ПО воспроизводилось видео на YouTube, высмеивающее Илона Маска, что служило отвлекающим манёвром для сбора и эксфильтрации конфиденциальных данных.

Несмотря на политический подтекст, RansomDOGE преследует финансовые цели и использует кошелек Monero для получения выкупа. «Злоумышленники сочетают техническую подкованность с социальной инженерией, используя политический контекст как прикрытие», — подчёркивает Дмитриева.

«В таких инцидентах при атаках на пользователей компании ярко проявляется ценность экспертной команды SOC. В кейсе "RansomDOGE" при идеальной стратегии защиты, если политическая мотивация может применяться в отношении компании или используется криптовалюта, важно моментально распознать поведенческие шаблоны, проанализировать обфускацию и разработать сигнатуры для обнаружения ‘cwiper.exe’ и аномалий, связанных с использованием уязвимых драйверов Intel. Наши аналитики GSOC компании "Газинформсервис" могут не просто фиксировать угрозу — они анализируют каждую ниточку схемы атаки, от первой строки PowerShell до механизмов перехвата на уровне ядра. Аналитики занимаются Threat Hunting и следят за эволюцией инструментов угроз в реальном времени и реагируют до того, как вредонос успеет внедриться глубоко в инфраструктуру», — заключила она.