Новая волна фишинга: хакеры крадут учетные данные сотрудников русских компаний

Злоумышленники осуществляют кражу данных сотрудников российских компаний путем рассылки фишинговых писем, маскируя их под правки к техническому заданию; во вложениях содержится вредоносный архив, поданный как PDF-файл, сообщили РИА Новости в компании Angara Security.

Специалисты отдела реагирования и цифровой криминалистики Angara MTDR зафиксировали новую фишинговую рассылку группировки Rare Werewolf... Основной целью злоумышленников является кража учетных данных пользователей. Новая волна атак начинается с рассылки писем сотрудникам компаний. Тема, содержание письма и приложенный зашифрованный архив замаскированы под правки к техническому заданию. Вредоносная нагрузка в архиве - исполняемый файл "Техническое задание №119843-28 Исх. N_3435.scr", стилизованный под PDF-документ

Когда пользователь открывает файл, происходит компрометация данных с его рабочего устройства. Кроме того, на устройство загружаются несколько вредоносных файлов — среди них программа для отправки украденных данных по электронной почте и сервис удаленного доступа. Хакеры получают постоянный неконтролируемый доступ к данным, после чего собирают пароли и другую информацию. Все используемые файлы удаляются сразу после выполнения своей задачи, пояснили эксперты. Предполагается, что злоумышленники также извлекают данные из десктопной версии мессенджера Telegram.

Группа Rare Werewolf (ранее известная как Rare Wolf и отслеживаемая под именами Librarian Ghouls, Librarian Likho, Rezet) - хакерская группировка, которая атакует организации различных отраслей на территории России, Беларуси и Казахстана как минимум с 2019 года. Новая кампания группировки началась в конце 2024 года. Сегодня мы наблюдаем очередную волну атак на российские компании

— прокомментировала руководитель отдела реагирования и цифровой криминалистики Лада Антипова.