МОСКВА, 16 сен — ПРАЙМ. Международная компания Group-IB, специализирующаяся на предотвращении кибератак, зафиксировала рассылку программы для кражи паролей под видом писем от ректора МГУ, рассказал РИА Новости заместитель руководителя Центра быстрого реагирования на инциденты кибербезопасности (CERT-GIB) Ярослав Каргалев.
Рассылка проводилась с 9 по 16 сентября в адрес финансовых, промышленных и государственных организаций России. В теме письма стояло "Запрос коммерческого предложения".
В фейковых письмах отправителем указаны admin@msu.ru или admin@rector.msu.ru, но в действительности письма уходили со скомпрометированного почтового сервера португальского отеля "Hotel Afonso V" в городе Авейру. Аналитики CERT-GIB оповестили администрацию отеля о взломе.
"В письме злоумышленники от имени ректора Виктора Садовничего просят получателей ознакомиться с прикрепленным документом — описанием бюджета на 2020 год — и оперативно выслать свое коммерческое предложение", — сообщил Каргалев.
Все письма содержали.zip архив с именем "Запрос коммерческого предложения" с исполняемым файлом.exe внутри. "При запуске на компьютер устанавливалась вредоносная программа из семейства Loki PWS, предназначенная для кражи с зараженного компьютера логинов и паролей. В дальнейшем злоумышленники могут использовать их для получения доступа к почтовым аккаунтам или криптокошелькам, для финансового мошенничества, шпионажа или продать похищенные данные на хакерских форумах", — отметил он.
"Сами письма написаны довольно безграмотно, со стилистическими ошибками, порядок слов и предложений указывает на машинный перевод. Ученая степень ректора указана неверно: Садовничий — не доктор философии, а доктор физико-математических наук. В футоре письма содержатся ссылки, большая часть из которых ведёт не на ресурсы МГУ, а на ресурсы Белградского университета. Судя по всему, злоумышленники поленились поменять или проверить перед рассылкой все ссылки в шаблоне, что свидетельствует о подобных атаках от имени других иностранных университетов", — добавил эксперт.