Хакерскую рассылку от имени ректора МГУ зафиксировала Group-IB

Компания Group-IB зафиксировала в сентябре серию почтовых рассылок от имени руководства МГУ им. М. В. Ломоносова, содержащих вредоносные программы для кражи паролей, 16 сентября сообщает пресс-служба Group-IB.

С 9 по 16 сентября от имени руководства МГУ производилась рассылка вредоносной программы.

«В письме злоумышленники от имени ректора Виктора Садовничего просят получателей ознакомиться с прикрепленным документом — описанием бюджета на 2020 год — и оперативно выслать свое коммерческое предложение», — информирует пресс-служба.

Злоумышленники рассылали письма в финансовые, промышленные и государственные организации России.

Текст этих писем, отмечают в Group-IB, написан довольно безграмотно, присутствуют стилистические ошибки, не соблюдается порядок слов, что указывает на машинный перевод.

«Судя по всему, злоумышленники поленились поменять или проверить перед рассылкой все ссылки в шаблоне, что свидетельствует о подобных атаках от имени других иностранных университетов», — отметили в пресс-службе.

Отправителями в письмах указаны admin@msu.ru или admin@rector.msu.ru. На самом деле письма приходили со скомпрометированного почтового сервера отеля Hotel Afonso V в городе Авейру (Португалия).

Как только атаки были зафиксированы, специалисты CERT-GIB (круглосуточный сертифицированный центр реагирования на инциденты информационной безопасности) оповестили администрацию отеля о взломе их сервера.

В письмах находились архивные файлы с расширением.zip и с именем «Запрос коммерческого предложения». Внутри архива находился исполняемый файл с расширением.exe. При его запуске устанавливалась вредоносная программа Loki PWS, целью которой является кража логинов и паролей с захваченного компьютера.

В дальнейшем эти данные могли использоваться «для получения доступа к почтовым аккаунтам или криптокошелькам, для финансового мошенничества, шпионажа или продажи похищенных данных на хакерских форумах», — объяснили в компании.

Заместитель начальника отдела информационных технологий МГУ Василий Кузьмин сообщил, что «ни ректор МГУ, ни административные подразделения ректората университета никогда не рассылают писем с подобным содержанием». МГУ оснащена надежной службой информационной безопасности, которая обеспечивает «постоянный мониторинг и контроль внутренних информационных систем», — пояснил он.

«Мошеннические письма могут быть очень убедительными, использовать официальный стиль и содержать фирменные логотипы», — предостерег Кузьмин.

Отметим, компания Group-IB основана в 2003 году. Сфера деятельности компании — предотвращение и расследование киберпреступлений и мошенничеств с использованием высоких технологий. Штаб-квартира компании находится в Москве.

Group-IB является партнером INTERPOL, Еuropol и имеет лицензию ФСБ России на осуществление разработки, производства, распространения шифровальных средств, информационных и телекоммуникационных систем.