Специалисты по кибербезопасности зафиксировали новую схему мошеннических атак на сотрудников российских компаний. В компании «Ангара Сикьюрити» рассказали, что злоумышленники рассылают письма, замаскированные под правки к техническому заданию, с целью хищения конфиденциальных данных.
По информации экспертов, в таких письмах содержится вредоносный архив, который выдает себя за PDF-документ. На самом деле в нем находится исполняемый файл с названием «Техническое задание №119843-28 Исх. N_3435.scr». Руководитель отдела реагирования и цифровой криминалистики компании Лада Антипова пояснила, что эту кампанию проводит группа Rare Werewolf, которая действует с 2019 года и нацелена на организации в России, Беларуси и Казахстане.
После открытия файла происходит заражение рабочего компьютера. На устройство загружаются программы, которые похищают пароли и другую важную информацию, а также предоставляют злоумышленникам постоянный удаленный доступ. Все вредоносные файлы самостоятельно удаляются после выполнения своей задачи. Предполагается, что преступники также извлекают данные из десктопной версии мессенджера Telegram.
По словам Антиповой, новая волна атак началась в конце 2024 года, и в настоящий момент наблюдается ее активная фаза. Специалисты рекомендуют сотрудникам компаний проявлять повышенную бдительность при получении электронных писем со вложениями.