Меню Поиск

Закрыть

Group-IB: Неизвестные рассылали под видом писем от ректора МГУ программу для кражи паролей

16.09.2020 21:33

Group-IB: Неизвестные рассылали под видом писем от ректора МГУ программу для кражи паролей

Теги: МГУ , письма , Хакеры

Неизвестные под видом писем от имени ректора МГУ Виктора Садовничего рассылали в адрес финансовых, промышленных и государственных организаций России программу для кражи паролей. Об этом сообщила пресс-служба компании Group-IB, специализирующейся предотвращении и расследовании киберпреступлений и мошенничеств с использованием высоких технологий.

«СERT Group-IB зафиксировал в сентябре серию почтовых рассылок вредоносных программ от имени руководства МГУ имени Ломоносова. Среди получателей - финансовые, промышленные и государственные организации России. В письме злоумышленники от имени ректора Виктора Садовничего просят получателей ознакомиться с прикрепленным документом - описанием бюджета на 2020 год - и оперативно выслать свое коммерческое предложение», - говорится в сообщении.

Отмечается, что письма рассылались с 9 по 16 сентября. В пресс-службе компании отметили, что сами письма написаны безграмотно, со стилистическими ошибками, порядок слов и предложений указывает на машинный перевод. Ученая степень ректора указана неверно: Садовничий является доктором физико-математических наук, а не не доктором философии. В футоре письма содержатся ссылки, большая часть из которых ведет не на ресурсы МГУ, а на ресурсы Белградского университета. В пресс-службе предположили, что злоумышленники поленились поменять или проверить перед рассылкой все ссылки в шаблоне, что свидетельствует о подобных атаках от имени других иностранных университетов.

«Любопытно, что в фейковых письмах отправителем указаны admin@msu.ru или admin@rector.msu.ru, но в действительности письма уходили со скомпрометированного почтового сервера португальского отеля Hotel Afonso V в городе Авейру. После обнаружения атаки аналитики CERT-GIB оповестили администрацию отеля о взломе», - добавили в компании.

Отмечается, что все письма содержали .zip архив с именем «Запрос коммерческого предложения» с исполняемым файлом .exe внутри. При запуске устанавливалась вредоносная программа из семейства Loki PWS, предназначенная для кражи с зараженного компьютера логинов и паролей. В пресс-службе пояснили, что в дальнейшем злоумышленники могут использовать их для получения доступа к почтовым аккаунтам или криптокошелькам, для финансового мошенничества, шпионажа или продать похищенные данные на хакерских форумах.

Рубрика: Технологии

Пожалуйста, укажите название Вашего СМИ/организации.
Или просто представьтесь, если Вы частное лицо:
Ок