Российские компании атакуют рассылками с шифровальщиком PyCrypter под видом криптообменника с VPN.
Центр кибербезопасности F.A.C.C.T. зафиксировал массовую рассылку вредоносных писем, нацеленную на российские промышленные, транспортные и IT-компании. В письмах, перехваченных 9 июля автоматизированной системой защиты электронной почты Business Email Protection от F.A.С.С.T., получателям предлагают использовать приложение
CryptoBOSS для работы с криптовалютой и VPN.
В сообщении рекламируют “б
езопасный и полностью анонимный доступ ко всем валютам”. Однако ссылка для скачивания бесплатной лицензии на самом деле ведет на загрузку шифровальщика
PyCrypter. Любопытно, что домен, с которого загружается ВПО – crypto4boss[.]com совсем свежий, зарегистрирован 6 июля специально под атаку на пользователя с почтой vladymir.stojanov@hotmail[.]com
Эта учетная запись с юзернеймом Vladimir Stoyanov уже использовалась осенью 2022 года и весной 2023 года в рассылках другого шифровальщика —
Cryptonite. Тогда в письмах от имени председателя правительства Михаила Мишустина предупреждалось об "атаке" некой шпионской программы, подготовленной "американскими IT- специалистами". От пользователей требовали скачать "программу от МВД", которая якобы удаляет ВПО и защищает от повторного заражения. Но на самом деле через ссылку Google Drive загружался шифровальщик. Теперь эта история повторяется уже в виде криптофарса. Ниже — индикаторы компрометации рассылки от 9 июля
IOCs:
Domain:
crypto4boss[.]com
Relevant sample SHA-256:
crypto4bossetup.exe – 2867f0ae09b771bcd9ad56b77eb5b9b2e6c4f4ce826a55a35d28dbbf88bd2392
#CyberDefenceCenter #BEP #шифровальщики
@F_A_C_C_T
