Мобилизовались: злоумышленники стали распространять вредоносное ПО под видом повесток
В начале октября эксперты «Лаборатории Касперского» зафиксировали целевую атаку на российские организации. Злоумышленники разослали несколько сотен вредоносных писем*, якобы касающихся темы частичной мобилизации. Анализ тактик и инструментов позволяет предположить, что за кампанией стоит группа XDSpy.
На первой рабочей неделе октября эксперты «Лаборатории Касперского» обнаружили рассылку вредоносных электронных писем. В сообщениях говорится, что в связи с неполучением повестки с указанным номером человека призывают срочно явиться в назначенное место и время. Более подробная информация якобы указана в повестке в формате PDF, которую необходимо скачать по ссылке. Письмо тщательно подготовлено и выглядит правдоподобно: содержит ссылки на статьи УК РФ, геральдику и стилистику соответствующего ведомства. В тексте злоумышленники угрожали возможными штрафами и уголовной ответственностью. Такие методы характерны для фишинговых рассылок и призваны заставить пользователя действовать быстро и необдуманно.
Ссылка ведёт на архив с исполняемым скриптом с расширением WSF. Если открыть файл, то он для отвода глаз скачает и отобразит в браузере PDF-документ, имитирующий отсканированную повестку, но параллельно создаст файл AnalysisLinkManager.exe во временной папке и запустит его. Используемое вредоносное ПО и техники имеют множество сходств с активностью группы XDSpy. В частности, с версиями прошлых лет совпадают исходный код вредоносного WSF-скрипта и способы запуска, а также частично названия файлов. Цели XDSpy — шпионаж, кража документов и других файлов, а также данных для доступа к корпоративным почтовым ящикам.
«В этой кампании используется ряд техник, позволяющих злоумышленникам проникнуть и закрепиться в системе — таргетированные фишинговые рассылки, имитация писем регуляторов, использование актуальной новостной повестки, вывод на экран изображения, которое ожидает пользователь. Это традиционно для XDSpy, — комментирует Андрей Ковтун, руководитель группы защиты от почтовых угроз «Лаборатории Касперского». — Такие атаки непросто обнаружить, поэтому компаниям важно внедрять комплексные системы защиты, а также обучать сотрудников правилам кибербезопасности».
* Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» за октябрь 2022 года.
Теги:
похожие материалы
Эксперт Кирилл Добрынин рассказал, как снизить расходы на ИИ-инфраструктуру
Рост корпоративных ИИ-сервисов приводит к увеличению операционных расходов на сопровождение инфраструктуры, зачастую превышающих первоначальные инвестиции в технологии, в итоге компаниям сложно выйти в положительный баланс от внедрения ИИ.
HeadHunter будет выплачивать 500 тыс. рублей в программе поиска уязвимостей
HeadHunter, ведущая российская платформа онлайн-рекрутинга, объявила о запуске открытой программы багбаунти на площадке Standoff Bug Bounty.
«Газинформсервис» и РЕД СОФТ подтвердили совместимость Ankey IDM и РЕД АДМ Промышленная редакция 2.0
Компании «Газинформсервис» и «РЕД СОФТ» подтвердили совместимость программного комплекса управления жизненным циклом учётных записей Ankey IDM и системы централизованного управления ИТ-инфраструктурой РЕД АДМ Промышленная редакция 2.
BearPass и «Группа Астра» расширяют сотрудничество для импортонезависимого управления доступами
Компания BearPass, российский разработчик корпоративного менеджера паролей, и «Группа Астра» объявляют об углублении технологического сотрудничества.
AI-агент опубликовал «разоблачение» на разработчика: скандал вокруг Scott Shambaugh вышел за пределы open source
В сообществе open source разгорелся конфликт после того, как на одного из участников, Scott Shambaugh, был опубликован критический материал, созданный ИИ-агентом.
Apple срочно закрыла zero-day: уязвимость использовалась в «чрезвычайно сложных» атаках
Apple выпустила обновления безопасности для iOS, iPadOS, macOS и visionOS, устраняющие zero-day-уязвимость, которая, по данным компании, уже применялась в «чрезвычайно сложных» целевых атаках.
500 000 аккаунтов под угрозой: вредоносные Chrome-расширения перехватывают страницы ВК
Исследователи сообщили о масштабной кампании, в рамках которой вредоносные расширения для Google Chrome заразили более 500 000 пользователей и использовались для перехвата аккаунтов ВКонтакте.
Обзор кибератак и уязвимостей за прошедшую неделю 9 - 13 февраля 2026
Редакция Cyber Media собрала для вас главные события уходящей недели: среди нашумевших инфоповодов - снижение числа IT-преступлений в России, крупная ошибка в системе криптовалютной биржи Bithumb, приведшая с колоссальным финансовым последствиям, уязвимость в libpng с 30-летней историей, растущие темпы кибератак на инженеров, и неутешительные прогнозы Microsoft про быструю автоматизацию рутинной работы ИИ.
Дьявольская мышь за $44: как взломать компьютер за несколько секунд
Исследователи продемонстрировали устройство EvilMouse - внешне обычную USB-мышь, которая при подключении к компьютеру автоматически выполняет вредоносные команды и может открыть злоумышленнику доступ к системе с повышенными правами.
Фальшивые AI-ассистенты в Chrome заразили 260 тыс. браузеров через скрытые iframes
Исследователи из платформы безопасности LayerX обнаружили крупномасштабную кампанию вредоносных расширений для Google Chrome, замаскированных под «помощников на базе искусственного интеллекта».