Поделиться
F.A.С.С.T. предупреждает: российские компании атакуют рассылками с шифровальщиком PyCrypter под видом криптообменника с VPN
Центр кибербезопасности F.A.C.C.T. зафиксировал массовую рассылку вредоносных писем, нацеленную на российские промышленные, транспортные и ИТ-компании. В письмах, перехваченных 9 июля автоматизированной системой защиты электронной почты Business Email Protection от F.A.С.С.T., получателям предлагают использовать приложение CryptoBOSS для работы с криптовалютой и VPN.
В сообщении рекламируют «безопасный и полностью анонимный доступ ко всем валютам». Однако ссылка для скачивания бесплатной лицензии на самом деле ведет на загрузку шифровальщика PyCrypter. Любопытно, что домен, с которого загружается ВПО – crypto4boss[.]com совсем свежий, зарегистрирован 6 июля специально под атаку на пользователя с почтой vladymir.stojanov@hotmail[.]com
Эта учетная запись с юзернеймом Vladimir Stoyanov уже использовалась осенью 2022 г. и весной 2023 г. в рассылках другого шифровальщика — Cryptonite. Тогда в письмах содержалось предупреждение от имени председателя правительства Михаила Мишустина об «атаке» некой шпионской программы, подготовленной «американскими IT-специалистами». От пользователей требовали скачать «программу от МВД», которая якобы удаляет ВПО и защищает от повторного заражения. Но на самом деле через ссылку Google Drive загружался шифровальщик.
Теперь эта история повторяется уже в виде криптофарса. Ниже — индикаторы компрометации рассылки от 9 июля.
Короткая ссылка
