Сотрудникам российских компаний начали приходить на электронную почту поддельные мобилизационные предписания. Об этом сообщили специалисты компании по кибербезопасности F.A.С.С.T (бывшее российское подразделение Group-IB) в блоге на платформе «Хабр».
Эксперты зафиксировали вредоносную активность в среду, 10 мая, и заблокировали более 600 вредоносных сообщений. Письма направлялись российским компаниям (в том числе HR-специалистам и секретарям) от лица "Главного Управления Военного Комиссариата МО РФ" с поддельного адреса mail@voenkomat-mil[.]ru.
Получателей призывали явиться в военкомат 11 мая к 8:00 для уточнения данных. Письма содержали ZIP-архив ("Мобилизационное предписание №5010421409-ВВК от 10.05.2023.zip") с вредоносным файлом внутри — трояном удаленного доступа DarkWatchman RAT.
"Ранее он был замечен в кампаниях финансово-мотивированной группы Hive0117 и использовался злоумышленниками в качестве разведывательного инструмента на первоначальной стадии атаки", — пояснили специалисты. Они допустили, что киберпреступники могли использовать этот вирус в качестве разведывательного инструмента.
По данным F.A.С.С.T., потенциальными жертвами фишинговой атаки 10 мая могли быть банки, IT-компании, промышленные предприятия, а также компании малого и среднего бизнеса.