24/04/19
Русскоговорящие киберпреступники атаковали ряд европейских посольств в Италии, Либерии, Кении и других странах, разослав чиновникам фишинговые письма якобы от Госдепартамента США.
Как сообщают исследователи из Check Point, вредоносные письма содержали документы Microsoft Excel с заголовком «Military Financing Program» («Программа финансирования военного сектора») и пометкой «Совершенно секретно». После активации содержащихся в документе вредоносных макросов из документа извлекались два файла. В частности, на атакуемую систему загружалась вредоносная библиотека TeamViewer DLL (TV.DLL).
На то, что злоумышленники могут разговаривать на русском языке, указывают случайно оставленные ими кириллические символы и даже целые документы на русском. Тем не менее, они вряд ли преследуют политические мотивы и не являются «правительственными хакерами», считают в Check Point. Жертвы киберпреступников разбросаны по всему миру и проживают в разных геополитических зонах. Среди них есть служащие налоговых органов, и именно они представляют интерес для злоумышленников, полагают исследователи.
Специалистам даже удалось отследить одного из киберпреступников. Им оказался некто EvaPiks, зарегистрированный на нескольких хакерских и кардерских форумах. EvaPiks публиковал инструкции по осуществлению описанных выше кибератак и давал консультации. Учитывая причастность злоумышленников к кардерскому сообществу, исследователи предположили, что они ищут финансовую выгоду.
