Специалисты зафиксировали крупнейшую вредоносную кампанию от имени ФНС
Под видом писем из налоговой злоумышленники распространяют ПО, позволяющее получить полный контроль над компьютером.
Согласно данным Group-IB, с 27 июля по настоящий момент юридические лица и госучреждения получают письма якобы от лица ФНС, в которых получателей просят явиться в «Главное Управление ФНС России» для «дачи показаний по движению денежных средств». Угроза таится во вложении к письму — поддельному документу, который требуется распечатать и заполнить.
На самом деле во вложении лежит архив под названием «zapros-dokumentov.rar», в котором еще один архив и текстовый файл с паролем от него. Как только жертва открывает аттач на компьютер загружается программа для удаленного управления устройством RMS (Remote Manipulator System).
Само по себе ПО является легитимным и потому большинство антивирусов его игнорируют. Однако, как рассказали специалисты, в данном случае злоумышленники модифицировали программу, обеспечив таким образом себе полный удаленный контроль над атакованным устройством.
Помимо этого, успешность рассылки обусловлена двумя ключевыми моментами. Во-первых, отправителем числится info@nalog. ru, но на самом деле письма рассылаются с публичных почтовых сервисов, а заголовки подделываются. Во-вторых, автор давит на получателя угрозами санкций, предусмотренных УК РФ.
Стоит отметить, что настоящая рассылка от лица ФНС отправляется только тем, кто подтверждал свою электронную почту в Личном кабинете, и зачастую содержит лишь информацию об изменениях в ЛК, о регистрации обращения и о получении ответа на него. Сама налоговая не направляет налогоплательщикам письма о наличии задолженности и с предложениями оплатить долг в режиме онлайн.
Фишинговые атаки — самая настоящая головная боль, которая не прекращает развиваться и совершенствоваться. На данный момент в России более 1 миллиона поддельных сайтов, копирующих официальные ресурсы компаний, и их количество постоянно растет. По оценке Group-IB, во втором квартале 2020 года количество фишинговых страниц выросло на 71%, при этом только в банковском секторе Центробанк выявил 119 тысяч фальшивых адресов.