Мошенники начали прикидываться военкоматами

Цель — привести на архив с исполняемым скриптом с расширением WSF.

Злоумышленники в России начали рассылать по электронной почте под видом повесток от военкоматов вредоносные программы, передаёт пресс-служба «Лаборатории Касперского».

На первой рабочей неделе октября эксперты «Лаборатории Касперского» обнаружили рассылку вредоносных электронных писем. В сообщениях говорится, что в связи с неполучением повестки с указанным номером человека призывают срочно явиться в назначенное место и время.

Более подробная информация якобы указана в повестке в формате PDF, которую необходимо скачать по ссылке, которая ведёт на архив с исполняемым скриптом с расширением WSF.

Если открыть файл, то он для отвода глаз скачает и отобразит в браузере PDF-документ, имитирующий отсканированную повестку, но параллельно создаст файл AnalysisLinkManager.exe во временной папке и запустит его.

Из комментария специалистов

По информации экспертов, используемое вредоносное ПО и техника имеют множество сходств с инструментами кибергруппы XDSpy. Цели XDSpy — шпионаж, кража документов и других файлов, а также данных для доступа к корпоративным почтовым ящикам.

Военкомат не может пригласить мобилизуемого сообщением в мессенджере или по SMS, повестка также не может передаваться через портал «Госуслуги».

Единственная форма оповещения — личное вручение повестки под роспись. Документ также не должен вручаться через близких родственников, а также посредством почтового ящика, если мобилизуемого не оказалось дома по месту регистрации.

Из информации на портале «Объясняем.рф»

Уже 28 сентября «Ведомости» писали, что финансовые мошенники быстро переориентировались в своих схемах на актуальную повестку и используют в качестве приманки новость о частичной мобилизации, объявленной 21 сентября. Об этом рассказал ведущий аналитик департамента Digital Risk Protection в компании Group-IB Евгений Егоров.

В «РТК-Соларе» на сегодняшний момент выявили уже более 500 ресурсов, которые используются для заработка на вопросах мобилизации. Значительную активность мошенников, использующих новость о мобилизации, подтвердили также представители Сбербанка и «Почта банка».