Массовая рассылка вредоносных писем от имени налоговой службы

Зафиксирована массовая рассылка вредоносных писем с вложением, открытие которого приводит к заражению компьютера для дальнейшего шпионажа. Адресат «прикидывается» налоговой службой, а сами вредоносные письма содержат RAT (Remote Access Trojan).

Атаке уже подверглось множество крупных компаний, в ходе которой:

• Пользователь получает письмо с подменой адреса от якобы налоговой службы.
• Само письмо для электронной почты довольно большое – почти 28МБ. Размер прикрепленного архива и самого исполняемого объекта порядка 20МБ.

• Внутри прикрепленного к письму архива находится еще один, разбитый на две части архив с паролем. Пароль находится в том же архиве верхнего уровня внутри текстового документа.

• Конечный файл находится внутри составного архива, защищенного паролем.

• При запуске утилита семейства RAT (Remote Access Trojan) локально открывает несколько портов для удаленного подключения и управления станцией жертвы.

Атака может привести к компрометации конфиденциальной информации и установке дополнительных программ слежения.

Дополнительно вы можете ознакомиться с процессом обнаружения трояна со стороны антивирусных систем на сайте Virustotal.com

Хэш для добавления в средства защиты:

OC / SHA-1 конечного исполняемого файла RAT утилиты:

A0D95584CF788173DCB30F6CBA5A7121F2A5FF83