МОСКВА, 17 авг — ПРАЙМ. Международная компания Group-IB, специализирующаяся на предотвращении кибератак, зафиксировала фишинговую рассылку писем якобы от имени Федеральной налоговой службы (ФНС), сообщили РИА Новости в компании.

"Специалисты Центра реагирования на инциденты кибербезопасности CERT-GIB зафиксировали вредоносную кампанию якобы от имени ФНС: в поддельных письмах под видом вызова в налоговую киберпреступники распространяют ПО для удаленного управления компьютером», — говорится в сообщении, где также рекомендуется «проявить максимальную бдительность и с осторожностью относиться к требованиям открыть файлы во вложении». Указывается, что в настоящее время рассылка вредоносных писем продолжается.

Рассылка началась 27 июля. Всем атакуемым приходило одинаковое письмо, в адресе отправителя которого была указана почта, которая полностью имитировала легитимный домен ФНС. Письма рассылались с публичных почтовых сервисов, технические заголовки были подделаны.

Сообщается, что авторы писем просили явиться в «Главное Управление ФНС России» для "дачи показаний по движению денежных средств", а также распечатать и заполнить документы, находящиеся во вложении к письму. «В случае неповиновения, отправитель "обещал" санкции, предусмотренные УК РФ», — отмечается в релизе Group-IB, где также сообщается, что в ФНС заявляют, что «ни организации, фигурирующей в подписи к письму, ни сотрудников, от имени которых были отправлены эти сообщения, не существует».

Компания поясняет, что во вложении к поддельному письму находился архив "zapros-dokumentov.rar", в котором был другой запароленный архив и текстовый файл с паролем от него. При открытии вложения на компьютер «жертвы» загружалась программа для удаленного администрирования и управления компьютером, RMS (Remote Manipulator System). Для большинства антивирусных средств подобное письмо не выглядело вредоносным.

"Однако в данном случае ПО RMS было модифицировано злоумышленниками таким образом, что при запуске исполняемого файла они получали полный удаленный контроль над атакованной рабочей станцией. Как правило, такое ПО используется на первом этапе целевой атаки для закрепления в сети, дальнейшего продвижения по ней или для эксфильтрации данных с зараженной машины", — рассказали в Group-IB.