Как преступникам удалось спрятать SapphireStealer в легитимных документах ЦИК?
На фоне недавних президентских выборов в РФ, исследователями компании F.A.C.C.T. была зафиксирована мошенническая операция, распространяющая похититель данных, замаскированный под официальные документы ЦИК, включая избирательные бюллетени.
Открытие касается вредоносной программы под названием SapphireStealer, нацеленной на Windows и способной похищать учётные данные из веб-браузеров и десктопного клиента Telegram.
Особенно тревожит тот факт, что для распространения своего вредоносного ПО мошенники использовали поддельный сайт, имитирующий официальный ресурс Правительства РФ.
По данным исследователей, SapphireStealer начал своё распространение ещё до выборов. Вредоносная программа написана на C# и способна собирать данные о пользователе, делать снимки экрана и отправлять украденную информацию злоумышленникам через Telegram или электронную почту.
Примечательно, что исходный код этого инфостилера впервые появился в публичном доступе ещё в марте 2022 года, что указывает на его широкую доступность для киберпреступников.
Рассмотренная специалистами атака с использованием SapphireStealer была осуществлена через исполняемый файл под названием «О предоставлении информации о предстоящих выборах.exe». Этот файл не только активировал стилер, но и загружал дополнительную вредоносную нагрузку с серверов злоумышленников.
Для привлечения внимания жертв и усыпления их бдительности, одновременно с запуском вредоносной программы открывался легитимный PDF-документ, состоящий из нескольких страниц, непосредственно связанный с предстоящими (на тот момент) выборами.
Содержимое документа-приманки
Анализируя вредоносную операцию, эксперты отметили использование мошенниками сразу нескольких поддельных доменов: «govermentu[.]ru» и «supgov[.]ru», однако второй, судя по всему, так и не был применён в реальных атаках.
В полном отчёте специалисты F.A.C.C.T. предоставили все технические детали вредоносного ПО, включая индикаторы компрометации и характеристики файла-приманки. Среди прочего, эксперты подчеркнули важность осведомлённости о таких угрозах и призвали к бдительности при обращении с подозрительными файлами и ссылками.
Несмотря на то, что выборы президента уже прошли, 8 сентября этого года российских граждан ждёт Единый день голосования. Не исключено, что злоумышленники, ответственные за эту атаку, захотят повторить свою вредоносную операцию в преддверии этого дня.
Собираем и анализируем опыт профессионалов ИБ