Группа злоумышленников ТА558 провела масштабную фишинговую атаку, нацеленную на компании из России и Беларуси, представляющие различные сектора экономики. Их действия затронули организации в финансовой, логистической, строительной, туристической и промышленной областях. Всего за один день преступники с использованием специализированного программного обеспечения разослали письма более чем 76 тысячам жертв из 112 стран. Об этом проинформировали аналитики F.A.C.C.T.
«Письма от ТА558 содержат вложение, которое загружает и запускает RTF-документ, использующий уязвимость CVE-2017-11882 для загрузки и исполнения HTA-файла с замаскированным обфусцированным VBS-скриптом. При запуске этого скрипта на устройстве жертвы активируется программа Remcos RAT – она предоставляет преступникам возможность контролировать устройство жертвы», – сообщают аналитики.
Напоминаем, что группировка ТА558 активно действует как минимум с 2018 года. В 2024 году в F.A.C.C.T. Threat Intelligence зафиксировали более тысячи фишинговых рассылок вредоносного ПО, нацеленных на предприятия, государственные учреждения и банки в России и Беларуси. Атаки проводились для кражи данных и получения доступа к внутренним системам организаций. Указывается, что группа применяет многоступенчатые фишинговые атаки и различные методы социальной инженерии.
Ранее специалисты F.A.C.C.T. выяснили, что злоумышленники разработали новый вид мошеннической рассылки, получивший название FakeTicketer. Под предлогом продажи билетов на матчи футбольной премьер-лиги России и соревнований по гребле они распространяют вредоносное ПО.
Мошенники распространяют вирусы под видом нейросетей
