Новости DarkWatchman RAT атакует российские компании от имени Pony Express

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.758
Репутация
11.595
Реакции
61.669
RUB
50
Специалисты FACCT , что о новой активности трояна DarkWatchman RAT.


На этот раз злоумышленники пытались атаковать российские компании под видом фейковой почтовой рассылки от популярной курьерской службы доставки Pony Express.

Напомним, что ранее операторы DarkWatchman атаковали российские компании, маскируя свою малварь под с итогами фейкового тендера от Минобороны, рассылали фальшивые повестки от лица военных комиссариатов, и даже создали фиктивный российского разработчика средств криптографической защиты.

Обычно этот RAT используется для скрытого удаленного доступа к скомпрометированному устройству, на котором троян может выполнять различные команды злоумышленников: загрузку других вредоносных модулей, шпионаж и дальнейшее распространение по сети организации.

В новой рассылке были замечены как минимум три десятка получателей, в том числе российские банки, ритейлеры и маркетплейсы, телеком-операторы, предприятия агропромышленного комплекса и ТЭК, логистические и IT-компании.



В письме злоумышленников говорится, что у получателя якобы подходит к концу срок бесплатного хранения товара, а во вложении под видом архива с накладной загружается DarkWatchman RAT.

Как выяснили исследователи, письма злоумышленников отправлены с домена ponyexpress[.]site, где три года назад размещалась фишинговая страница, мимикрирующая под онлайн-магазин.

При этом указанный в письме многоканальный телефоy действительно принадлежит курьерской службе, и сейчас по этому номеру уже можно услышать предупреждение о том, что рассылка с адреса support@ponyexpress[.]site является мошеннической: «Пожалуйста, не отвечайте на письмо и не открывайте вложенные документы!».

 
Сверху Снизу