Цифролаба з’ясувала, що росіяни розсилають фішинг від імені Одеської міськради

Лабораторія цифрової безпеки проаналізувала електронного листа, який нібито надіслав Департамент економічного розвитку Одеської міської ради місцевому громадському діячу. Організація виявила багатокрокову фішингову схему та її російський слід. 

Про це Цифролаба повідомила на своєму сайті.

Команда Цифролаби зазначила, що лист видавався досить реалістичним – електронна адреса відправника була достовірною, не було граматичних помилок, лист містив коротке повідомлення та підпис. Найбільше підозр викликав вкладений файл “Для_реагування_і_вжиття_заходів.xhtml”. 

“Файли з таким розширенням за замовчуванням відкриваються браузером як збережена вебсторінка. Відкриваємо його в текстовому редакторі, щоб перевірити код. Замість стандартного коду html-сторінки бачимо підозрілий набір символів. Таким чином, маємо шкідливий код, захований усередині інших, як у матрьошці. Через це на момент аналізу більшість антивірусів не виявляла шкідливу активність вкладеного файлу”, – зазначають спеціалісти.

За даними Цифролаби, зловмисники застосували прості техніки для ускладнення виявлення, такі як: 

• очікування на рух курсора;
• перевірка середовища запуску; 
• приховування коду за допомогою маніпуляцій з текстом; 
• відстеження запуску файлу; 
• завантаження кінцевого шкідливого коду лише за умови, що перший спрацював.

У коментарі представнику ІМІ в Цифролабі розповіли, що такі атаки класифікуються як таргетовані – зловмисники намагаються зламати системи конкретних людей або організацій. 

“Для цього вони вивчають поведінку жертви, проводять дослідження (розвідку). Такі атаки дуже важко виявити, адже вони кожного разу різні й мають індивідуальний підхід. Для журналіста немає нічого дивного в отриманні листа з вкладенням від держоргану, до якого він подає запити. Повідомлення може бути про що завгодно, наприклад допомогу війську, сенсаційний злив, відключення електроенергії чи виклик до суду. Все частіше бачимо випадки поширення фішингових повідомлень та шкідливого програмного забезпечення в популярних месенджерах Signal, WhatsApp, Telegram, Viber, Facebook. Тож закликаємо уважніше ставитися до повідомлень, де вас закликають перейти за посиланням, поділитися інформацією чи завантажити файл,” – розповіли експерти.

Дослідники пов'язують цю атаку зі спонсорованою російськими спецслужбами хакерською групою Gamaredon (UNC530), яка вже роками атакує українські організації.