Эксперты Angara MTDR сообщили о выявлении целевой фишинговой кампании, направленной против российских организаций. Вредоносная активность зафиксирована за группировкой Rare Werewolf (известная также под псевдонимами Rezet и Librarian Ghouls). Ключевая особенность схемы — искусная имитация внутренней рабочей коммуникации с использованием вредоносных вложений, замаскированных под бухгалтерские документы.
Технические специалисты установили, что злоумышленники рассылают жертвам зашифрованные архивы с именем «Актуальная редакция Договора поставки N 8530-69 Исх. 755.rar». Внутри архива находится исполняемый файл, который запускает сложную многоэтапную процедуру заражения системы. Вредоносная программа использует каскадную загрузку компонентов из других защищенных архивов, чтобы обходить антивирусные средства.
Главная цель атаки — скрытное закрепление на скомпрометированном устройстве. Для этого вредоносное ПО разворачивает легитимное средство удалённого администрирования AnyDesk и автоматически настраивает постоянный удалённый доступ, что позволяет злоумышленникам в дальнейшем беспрепятственно контролировать машину жертвы. Вдогонку, пользуясь полученным доступом, программа извлекает сохранённые браузерные и почтовые учётные данные и передаёт их операторам атаки через собственную SMTP-инфраструктуру. Финальным этапом вредонос ослабляет механизмы защиты Windows и удаляет большинство артефактов, заметая следы присутствия.
Для снижения бдительности жертв преступники воссоздают реалистичный контекст делового общения. В теме письма используются стандартные пометки «Fwd» (переслано) и «Re» (ответ), создавая иллюзию продолжения рабочей дискуссии.
«Злоумышленники сделали ставку на привычные бюрократические паттерны. Текст письма насыщен терминами «преамбула», «калькуляция» и ссылками на конкретные пункты договора, например, «п. 4.6». Это формирует ложное впечатление, что отправитель действительно вносил правки в документ. А сообщение пароля к архиву в теле письма воспринимается сотрудниками как стандартная процедура обмена конфиденциальной информацией», — комментирует ситуацию эксперт Angara MTDR.
Особое внимание злоумышленники уделили деталям: используются цифровые подписи от имени реальных или вымышленных сотрудников, а в тело письма добавлен фальшивый штамп о проверке сообщения антивирусом российского производства. По данным Angara MTDR, эта деталь внедрена специально для создания у получателя ложного чувства защищенности.
Angara MTDR рекомендует сотрудникам компаний внимательно относиться ко всей приходящей корреспонденции, особенно от внешних адресатов, критически оценивать любые входящие письма с вложениями — даже если они выглядят как часть текущей переписки с коллегами — и проверять отправителя через альтернативные каналы связи.
