"У пользователей, не установивших сертификаты безопасности Минцифры, с 30 января возникнут проблемы с доступом на сайт Госуслуг и в онлайн-банкинг". Испугались? На то и расчет: 25 января система защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR перехватила фишинговые письма, отправленные якобы от Минцифры.
В отличие от большинства вредоносных рассылок это письмо было составлено довольно грамотно и стильно оформлено. Только вот кнопка "Скачать", как установили в ходе дополнительной проверки аналитики Центра Кибербезопасности F.A.C.C.T. , вела на архив с загрузчиком, а в конце всей цепочки загружался стилер MetaStealer (вариация RedLine Stealer).
MetaStealer - шпионское ПО, которое нацелено на кражу конфиденциальной информации с компьютера жертвы. Первое появление данного стилера было замечено в 2022 году. Чаще всего распространяется через рассылку фишинговых писем. Имеет версии для атак как на Windows, так и на MacOS.
В тексте письма присутствует ссылка, при переходе по которой скачивается архив russian_trusted_ca_ms.cer.rar (sha1: 242fb5d530c4da533bac43ef6d4e26af7e080adb) с вредоносного ресурса hXXps://wb4o[.]com/click?key=667d6c67929b40aa205b&sub1=user@example[.]ru, где вместо user@example[.]ru указывается реальный адрес электронной почты потенциальной цели атаки. В самом архиве содержатся два одинаковых исполняемых файла russian_trusted_root_ca.cer.exe и russian_trusted_sub_ca.cer.exe (sha1: 5244539842ff4a2e58331aa6a825deb6246da8ee), которые мимикрируют под сертификат безопасности. На самом же деле вместо сертификата в конечном итоге осуществляется загрузка шпионского ПО MetaStealer, которое собирает чувствительные данные с компьютера жертвы.
В последнее время MetaStealer часто использовала кибершпионская APT-группа Sticky Werewolf. Но за этой рассылкой, судя по технике, вероятно, стоит другая хак-команда — стилер продается в свободном доступе.
Кроме того, отличительной особенностью этой рассылки было то, что киберпреступники отправили сообщение, используя спуфинг — технику, которая позволяет подделать почту отправителя и создать видимость, что письмо отправлено с легитимного адреса.
Во всех случаях фишинговые письма были перехвачены и заблокированы системой для защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR.
UPD: Новость была обновлена и дополнена 29 января в 21.00.
Индикаторы компрометации
Файлы:
russian_trusted_ca_ms.cer.rar
MD5: d6614a8af0f59ed40d1590f215232143
SHA-1: 242fb5d530c4da533bac43ef6d4e26af7e080adb
SHA-256: f103f9db15ab6b52e5bf64dd7b13bf52f313797c3cd05ec13a261e51a893279e
russian_trusted_root_ca.cer.exe, russian_trusted_sub_ca.cer.exe
MD5: e1d7b2b67c26fb7a104d0141606fc70b
SHA-1: 5244539842ff4a2e58331aa6a825deb6246da8ee
SHA-256: d5b475717d872b56324d03f51d37a182c1df479ae3dccb3a84e53fae7e17fa28
URL:
hXXps://wb4o[.]com/click?key=667d6c67929b40aa205b&sub1=user@example[.]ru
C2:
45.11.24[.]211:25860
