Специалисты команды GReAT раскрыли новую кампанию целевой рассылки, организованную кибергруппировкой «Форумный тролль». В отличие от предыдущих атак, когда угрозы направлялись на публичные почтовые адреса, сейчас злоумышленники сосредоточились на персональных целях — исследователях из российских вузов и научных центров, работающих в сферах политологии, мировой экономики и международных отношений. Целью операции было внедрение вредоносной программы для получения контроля над компьютерами жертв.
Внешний вид опасного сообщения
Письма рассылались с поддельного адреса support@e-library{.}wiki, копирующего адрес реальной научной платформы eLibrary (настоящий домен elibrary.ru). В теле письма размещались индивидуальные ссылки, побуждающие получателя скачать якобы отчёт о проверке исследования на антиплагиат — тематически важный для научных сотрудников.
Переход по ссылке приводил к загрузке архива с того же домена e-library{.}wiki. Внутри содержался опасный ярлык и папка .Thumbs с графическими файлами, вероятно использовавшимися для маскировки вредоносной активности. В именах архива и запускаемого файла злоумышленники указывали полные ФИО получателя.
При проверке домена e-library{.}wiki пользователь видел устаревшую копию подлинного ресурса, что добавляло доверия к подделке.
Последствия открытия опасной ссылки
При активации файла .lnk на устройстве запускался скрипт PowerShell, запускающий процесс заражения. В результате на компьютер устанавливался платный инструмент Tuoni, открывающий злоумышленникам доступ к управлению системой. Для сохранения устойчивости вредонос применял методику COM Hijacking, а также автоматически демонстрировал PDF-документ — якобы отчёт о проверке уникальности. Название файла включало ФИО человека, но содержание представляло собой шаблонный текст без персонализации.
Любопытно, что попытка открыть ссылку с устройства не на Windows приводила к предложению повторить действие с компьютера под этой ОС. Подробная техническая информация и сигнатуры атаки доступны в материале на Securelist.
Рекомендации по защите
Угрозы, применяемые в этой кампании, успешно детектируются продуктами «Лаборатории Касперского». Мы советуем внедрять защитные решения не только на корпоративные устройства, но и на почтовые серверы организаций — это позволит перехватывать большинство почтовых атак до достижения конечного пользователя.