Спецы по сохранности Group-IB зафиксировали в сентябре серию почтовых рассылок вредных программ от имени управления МГУ (Московский государственный университет имени М. В. Ломоносова) им. М.В.Ломоносова. Посреди получателей — денежные, промышленные и муниципальные организации Рф. В письме злоумышленники от имени ректора Виктора Садовничего требуют получателей ознакомиться с прикрепленным документом — описанием бюджета на 2020 год — и оперативно выслать свое коммерческое предложение.
Пригодятся ли обладателям новейших микропроцессоров антивирусы
Как отмечают специалисты, сами письма написаны достаточно малограмотно, со стилистическими ошибками, порядок слов и предложений показывает на машинный перевод. Ученая степень ректора указана ошибочно: Садовничий — не доктор философии, а доктор физико-математических наук. В футоре письма содержатся ссылки, большая часть из которых ведёт не на ресурсы МГУ (Московский государственный университет имени М. В. Ломоносова), а на ресурсы Белградского института. «Судя по всему, злоумышленники поленились поменять либо проверить перед рассылкой все ссылки в шаблоне, что свидетельствует о схожих атаках от имени остальных зарубежных институтов», — говорят в Group-IB.
Интересно, что в фейковых письмах отправителем указаны admin@msu.ru либо admin@rector.msu.ru, но в реальности письма уходили с скомпрометированного почтового сервера португальского отеля «Hotel Afonso V» в городке Авейру. Опосля обнаружения атаки аналитики CERT-GIB оповестили администрацию отеля о взломе.
Все письма содержат .zip архив с именованием «Запрос коммерческого предложения» с исполняемым файлом .exe снутри. При запуске на комп устанавливалась вредная программка из семейства Loki PWS, созданная для кражи с зараженного компа логинов и паролей. В предстоящем злоумышленники могут применять их для получения доступа к почтовым аккаунтам либо криптокошелькам, для денежного мошенничества, шпионажа либо реализовать похищенные данные на хакерских форумах.
Источник: