Group-IB выявила вредоносную рассылку от имени налоговой

Эксперты по кибербезопасности зафиксировали фишинговую атаку от лица злоумышленников, выдающих себя за налоговую службу. Об этом говорится в пресс-релизе компании Group-IB, поступившем в «Газету.Ru».

Во вредоносных письмах жертву приглашают в Главное управление ФНС России с целью «дачи пояснений по вопросу движения денежных средств с вашего расчетного счета». При этом пользователю предлагается заполнить и принести с собой анкету, которая находится во вложении.

В случае нежелания жертвы подчиниться ей угрожали некими «санкциями».

В Group-IB отмечают, что в качестве отправителя указывается адрес info@nalog.ru, который является легитимным адресом ФНС, но на самом деле письма рассылались с публичных почтовых сервисов с подделанными заголовками. Тем не менее реальный адрес электронной почты мог легко усыпить бдительность жертвы.

Во вложении, прикрепленном к письму, находился запароленный архив, комбинация к которому была указана ранее. При открытии файла на компьютер жертвы устанавливалась программа для удаленного управления компьютером RMS (Remote Manipulator System). Это ПО является легальным, а потому антивирусы на него не реагируют. Однако злоумышленники все же внесли в него некоторые модификации — при запуске исполняемого файла они получали полный удаленный контроль над атакованной рабочей станцией, после чего могли без труда скачать все документы с компьютера жертвы.

Федеральная налоговая служба России выпустила предупреждение, в котором категорически не рекомендует открывать подобные письма.

«Данные сообщения являются поддельными и не имеют к Федеральной налоговой службе никакого отношения.

ФНС России не направляет налогоплательщикам письма о наличии задолженности и с предложениями оплатить долг в режиме онлайн.

Вся необходимая информация о неуплаченных налогах и способах их оплаты размещена в группе сервисов «Личный кабинет налогоплательщика». Будьте бдительны и не открывайте подобные письма», — заявили в ФНС.

«В арсенале современных киберпреступников есть множество техник для сокрытия вредоносной активности от популярных средств корпоративной защиты. Рассылки с вложенными или запароленными архивами, отложенной активацией и использованием модифицированного легитимного ПО оказываются оперативно обнаруженными только в случае использования систем раннего обнаружения кибератак, задействующих алгоритмы поведенческого анализа и позволяющих изучить подозрительный файл в изолированной среде до того, как он попадет на компьютер пользователя», — пояснил заместитель руководителя CERT-GIB Ярослав Каргалев.

При этом эксперты отмечают, что вредоносная рассылка все еще продолжается, поэтому пользователям необходимо проявить бдительность и расценивать любые просьбы загрузить или открыть файлы как подозрительные. 

По данным ФБР, фишинг стал самым распространенным киберпреступлением 2019 года в США — от его последствий пострадали свыше 100 тысяч человек, потеряв свыше $57 млн. 

Крупная финансовая выгода и минимальные затраты делают фишинг крайне привлекательным для киберзлоумышленников.

Одним из «трендов» прошлого года среди тех, кто занимается фишингом, стала атака на сотрудников компании из младшего персонала, чтобы впоследствии добраться до кого-либо из руководства. Так, киберпреступник с помощью фишинговой рассылки, маскирующейся под легальный сервис, выманивает личные данные работника компании. Затем, получив доступ к его электронной почте или аккаунту в мессенджере, связаться с топ-менеджером, чтобы украсть его личные данные, становится уже гораздо проще.

По такой же схеме осуществляются атаки на целые организации — хакеры получают доступ к e-mail-адресам компаний, а затем с их помощью проникают в систему более крупных фирм.