Специалисты FACCT предупреждают, что о новой активности трояна DarkWatchman RAT. На этот раз злоумышленники пытались атаковать российские компании под видом фейковой почтовой рассылки от популярной курьерской службы доставки Pony Express.
Напомним, что ранее операторы DarkWatchman атаковали российские компании, маскируя свою малварь под зашифрованный архив с итогами фейкового тендера от Минобороны, рассылали фальшивые повестки от лица военных комиссариатов, и даже создали фиктивный сайт российского разработчика средств криптографической защиты.
Обычно этот RAT используется для скрытого удаленного доступа к скомпрометированному устройству, на котором троян может выполнять различные команды злоумышленников: загрузку других вредоносных модулей, шпионаж и дальнейшее распространение по сети организации.
В новой рассылке были замечены как минимум три десятка получателей, в том числе российские банки, ритейлеры и маркетплейсы, телеком-операторы, предприятия агропромышленного комплекса и ТЭК, логистические и IT-компании.
В письме злоумышленников говорится, что у получателя якобы подходит к концу срок бесплатного хранения товара, а во вложении под видом архива с накладной загружается DarkWatchman RAT.
Как выяснили исследователи, письма злоумышленников отправлены с домена ponyexpress[.]site, где три года назад размещалась фишинговая страница, мимикрирующая под онлайн-магазин.
При этом указанный в письме многоканальный телефоy действительно принадлежит курьерской службе, и сейчас по этому номеру уже можно услышать предупреждение о том, что рассылка с адреса support@ponyexpress[.]site является мошеннической: «Пожалуйста, не отвечайте на письмо и не открывайте вложенные документы!».
Напомним, что ранее операторы DarkWatchman атаковали российские компании, маскируя свою малварь под зашифрованный архив с итогами фейкового тендера от Минобороны, рассылали фальшивые повестки от лица военных комиссариатов, и даже создали фиктивный сайт российского разработчика средств криптографической защиты.
Обычно этот RAT используется для скрытого удаленного доступа к скомпрометированному устройству, на котором троян может выполнять различные команды злоумышленников: загрузку других вредоносных модулей, шпионаж и дальнейшее распространение по сети организации.
В новой рассылке были замечены как минимум три десятка получателей, в том числе российские банки, ритейлеры и маркетплейсы, телеком-операторы, предприятия агропромышленного комплекса и ТЭК, логистические и IT-компании.
В письме злоумышленников говорится, что у получателя якобы подходит к концу срок бесплатного хранения товара, а во вложении под видом архива с накладной загружается DarkWatchman RAT.
Как выяснили исследователи, письма злоумышленников отправлены с домена ponyexpress[.]site, где три года назад размещалась фишинговая страница, мимикрирующая под онлайн-магазин.
При этом указанный в письме многоканальный телефоy действительно принадлежит курьерской службе, и сейчас по этому номеру уже можно услышать предупреждение о том, что рассылка с адреса support@ponyexpress[.]site является мошеннической: «Пожалуйста, не отвечайте на письмо и не открывайте вложенные документы!».
