Специалисты по анализу угроз компании F.A.C.C.T. обнаружили вредоносный pdf-файл, содержащий политическую информацию о прошедших президентских выборах, с модифицированным SapphireStealer. Это вредоносное программное обеспечение, способное перехватывать данные из браузеров и мессенджера Telegram, и было распространено с поддельного ресурса, имитирующего домен российского правительства.
Это первый случай использования ВПО, маскированного под официальные документы Центризбиркома во время выборов, и не исключено, что злоумышленники могут продолжить использовать подобные атаки в следующие выборы. SapphireStealer - стиллер, написанный на C#, который собирает информацию о хосте, данные из браузеров и файлы, а также может делать скриншоты и отправлять украденные данные через Telegram-бота и сервер. Вредоносная активность, связанная с SapphireStealer, также использовала тему российских выборов, загружая файл из поддельного домена.
Indicators of Compromise
IPv4
- 193.39.185.4
Domains
- govermentu.ru
- supgov.ru
URLs
- https://govermentu.ru/media/3/O_predostavlenii_informatsii_o_predst_yashchikh_vyborakh.exe
- https://t.me/s/ASFGS43TQFGHTRHGFD24
MD5
- 67201e170f705ad22ebc216fe5a9c397
- 7a283eaae42e28e03488206194fb17eb
- a098dc2904a1810e6da68d91de26a61e
SHA1
- 3dd56230112775bd89526d6eecdeca74c10f77fb
- 7b642b237f92fae45eaf6fa311c7f93c8ba27f9c
- a3299b610db24fcbd1cf29ade00d45a5a02b7b82
SHA256
- 5c01531a6b7f25b92e9a2d0d67fe7057813140d2c60dc0bb356b190aa91a5857
- cd1f33f5ea2c4d3bc6cb4c2532df1c8373a350f70af9364f0cde1934e703ed75
- d45a44a7ddd662a65eb623df1cb742ee38922f8f4e6ed2319f94cc62290798c7