Злоумышленники пытались обманом заставить пользователей установить вредоносное ПО, сочетающее коды троянов Fareit и Remcos.
На минувших выходных жители Исландии столкнулись с мощной фишинговой кампанией, в ходе которой злоумышленники пытались обманом заставить пользователей установить вредоносное ПО, сочетающее в себе коды различных угроз, в том числе троянов Fareit и Remcos. Первый представляет собой ПО для извлечения данных (например, кражи паролей из браузеров), второй – троян для удаленного доступа.
Кампания стартовала вечером субботы, 6 октября. В ходе атаки организаторы распространяли письма, имитирующие уведомления от исландских правоохранителей (Lögreglan) с просьбой явиться на допрос, в противном случае невыполнение требования повлечет за собой арест.
Сообщения содержали ссылку, ведущую на фальшивую версию официального сайта полиции. Для большей достоверности злоумышленники зарегистрировали домен logregian[.]is весьма напоминающий официальный сайт полиции (logreglan[.]is). Перешедшим на ресурс пользователям предлагалось ввести свой номер социального страхования. Официальные сайты при вводе неправильного номера выдают соответствующее уведомление. Фишинговые страницы обычно принимают любой код, поскольку не обладают возможностью проверки достоверности номеров. Однако в данном случае злоумышленникам каким-то образом удалось реализовать механизм верификации, чтобы не вызывать подозрения пользователей. По одной из версий, организаторы кампании предположительно используют ранее утекшую базу данных.
Для получения более подробной информации по якобы возбужденному против них делу пользователям предлагается ввести указанный в письме код авторизации. Далее жертва получает защищенный паролем архив (ключ предоставлен на фишинговой странице), который на деле является запакованной вредоносной программой, предоставляющей злоумышленникам возможность удаленно получить доступ к компьютеру и похитить информацию. Украденные данные отправляются на серверы в Германии и Нидерландах.
По словам аналитика ИБ-компании Cyren Магни Рейнира Сигурдссона (Magni Reynir Sigurðsson), помимо кодов Fareit и Remcos, распространяемый злоумышленниками вредонос также содержит код, предназначенный для атак на исландские банки. «Это полностью уникальный случай, такого раньше не наблюдалось», - отметил эксперт.
Кто стоит за данной кампанией в настоящий момент неизвестно. Учитывая текст письма и оформление фишингового сайта, речь может идти о людях, хорошо знакомых с административной системой Исландии.
Одно найти легче, чем другое. Спойлер: это не темная материя