Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Билет, которого нет: специалисты F.A.C.C.T. обнаружили новую угрозу – FakeTicketer

17/01/25

ФАККТ-Jan-17-2025-09-07-52-6837-AM

Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, исследовала рассылки злоумышленника, получившего название FakeTicketer. Он действует как минимум с июня 2024 года, основной мотивацией, предположительно, является шпионаж, а вероятными целыми — чиновники и спортивные функционеры. Под видом билетов на матчи футбольной премьер-лиги России и соревнований по гребле атакующий рассылал уникальное вредоносное ПО: стилер, троян удалённого доступа (RAT) и дроппер с возможностью кражи данных из браузеров.

1440x720 (45)
 
Новое семейство вредоносного ПО получило название Zagrebator, оно указывает на уникальный артефакт, обнаруженный аналитиками департаментами киберразведки F.A.C.C.T. Threat Intelligence в ходе исследования.
 
В первой установленной специалистами атаке в качестве документа-приманки использовались билеты на матчи футбольной премьер-лиги России, позже – на соревнования по водной гребле на байдарках и каноэ. Эта тактика и подарила злоумышленнику кодовое имя - FakeTicketer.
 
Впоследствии данные, полученные при анализе ВПО от FakeTicketer, позволили специалистам F.A.C.C.T. обнаружить ещё две атаки с использованием этих вредоносных программ. К этому времени злоумышленник сменил маскировку, начал использовать в качестве приманок официальные документы: в октябре это был скан школьного аттестата, в декабре – нормативные акты администрации города Симферополя Республики Крым. 
 
Предположительно, злоумышленник рассылал электронные письма с вложением в виде архива, имя которого дублирует тему письма. Вложенный архив содержит исполняемый файл с аналогичным именем, связанным с легендой атаки.
 
«Злоумышленник использует самописное вредоносное ПО, что позволяет ему быть более скрытным и обходить определённые системы обнаружения в ходе эксплуатации цепочки атаки на зараженной системе. Исходя из функциональных возможностей вредоносного ПО, мы полагаем, что мотивация злоумышленника FakeTicketer – шпионаж. Исходя из обнаруженных декой-файлов, считаем, что его атаки нацелены, в том числе, на государственный сектор», – комментирует Артем Грищенко, ведущий специалист по анализу вредоносного кода департамента киберразведки компании F.A.C.C.T. Threat Intelligence.
 
Больше подробностей, индикаторы компрометации – в нашем блоге.
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...