Центр кибербезопасности F.A.C.C.T. зафиксировал новую активность трояна DarkWatchman RAT. На этот раз злоумышленники пытались атаковать российские компании под видом фейковой почтовой рассылки от популярной курьерской службы доставки Pony Express.
В списке рассылки замечены как минимум три десятка получателей, в том числе российские банки, ритейлеры и маркетплейсы, телеком-операторы, предприятия агропромышленного комплекса и ТЭК, логистические и IT-компании. В письме говорится, что у получателя якобы подходит к концу срок бесплатного хранения товара, а во вложении под видом архива с накладной загружается вредоносное ПО с трояном удаленного доступа DarkWatchman RAT.
Как выяснили эксперты ЦК, письмо было отправлено с домена ponyexpress[.]site, где три года назад размещалась фишинговая страница, мимикрирующая под онлайн-магазин. Указанный в письме многоканальный телефон, действительно, принадлежит курьерской службе, и сейчас там уже звучит предупреждение о том, что рассылка с адреса [email=support@ponyexpress]support@ponyexpress[/email][.]site является мошеннической: “Пожалуйста, не отвечайте на письмо и не открывайте вложенные документы!”.
Напомним, что в уходящем году киберпреступники довольно активно распространяли DarkWatchman RAT – под видом зашифрованного архива с итогами фейкового тендера от Минобороны или лже-повесток от военных комиссариатов, и даже с использованием фейкового сайта российского разработчика средств криптографической защиты.
Во всех случаях атаки были нейтрализованы системой для продвинутого обнаружения, реагирования и защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR.
Источник новости: habr.com