Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, исследовала рассылки злоумышленника, получившего название FakeTicketer. Он действует как минимум с июня 2024 года, основной мотивацией, предположительно, является шпионаж, а вероятными целыми — чиновники и спортивные функционеры. Под видом билетов на матчи футбольной премьер-лиги России и соревнований по гребле атакующий рассылал уникальное вредоносное ПО: стилер, троян удалённого доступа (RAT) и дроппер с возможностью кражи данных из браузеров.
Новое семейство вредоносного ПО получило название Zagrebator, оно указывает на уникальный артефакт, обнаруженный аналитиками департаментами киберразведки F.A.C.C.T. Threat Intelligence в ходе исследования.
В первой установленной специалистами атаке в качестве документа-приманки использовались билеты на матчи футбольной премьер-лиги России, позже – на соревнования по водной гребле на байдарках и каноэ. Эта тактика и подарила злоумышленнику кодовое имя — FakeTicketer.
Впоследствии данные, полученные при анализе ВПО от FakeTicketer, позволили специалистам F.A.C.C.T. обнаружить ещё две атаки с использованием этих вредоносных программ. К этому времени злоумышленник сменил маскировку, начал использовать в качестве приманок официальные документы: в октябре это был скан школьного аттестата, в декабре – нормативные акты администрации города Симферополя Республики Крым.
Предположительно, злоумышленник рассылал электронные письма с вложением в виде архива, имя которого дублирует тему письма. Вложенный архив содержит исполняемый файл с аналогичным именем, связанным с легендой атаки.
«Злоумышленник использует самописное вредоносное ПО, что позволяет ему быть более скрытным и обходить определённые системы обнаружения в ходе эксплуатации цепочки атаки на зараженной системе. Исходя из функциональных возможностей вредоносного ПО, мы полагаем, что мотивация злоумышленника FakeTicketer – шпионаж. Исходя из обнаруженных декой-файлов, считаем, что его атаки нацелены, в том числе, на государственный сектор», – комментирует Артем Грищенко, ведущий специалист по анализу вредоносного кода департамента киберразведки компании F.A.C.C.T. Threat Intelligence.
Больше подробностей, индикаторы компрометации – в нашем блоге.
