Злоумышленники стали распространять вредоносный код под видом повесток в рамках объявленной в России частичной мобилизации, сообщили в компании «Лаборатория Касперского».
По данным компании, с начала октября злоумышленники разослали несколько сотен вредоносных писем, якобы касающихся темы частичной мобилизации. В сообщениях говорится, что в связи с неполучением повестки адресата призывают срочно явиться в назначенное место и время; более подробная информация якобы указана в повестке в формате PDF, которую необходимо скачать по ссылке. В «Лаборатории» подчеркивают, что письма тщательно подготовлены и выглядят правдоподобно: содержат ссылки на статьи УК РФ, геральдику и стилистику соответствующего ведомства. Сама же вредоносная ссылка ведет на скачивание архива с исполняемым скриптом с расширением WSF.
«Если открыть файл, то он для отвода глаз скачает и отобразит в браузере PDF-документ, имитирующий отсканированную повестку, и параллельно создаст файл AnalysisLinkManager.exe во временной папке и запустит его. Используемое вредоносное ПО и техники имеют множество сходств с активностью группы XDSpy. <...> Цели XDSpy — шпионаж, кража документов и других файлов, а также данных для доступа к корпоративным почтовым ящикам», — уточнили в компании.