По каналам НКЦКИ получены сведения о массовой рассылке фишинговых электронных писем, содержащих вложение в виде PDF-файла с именем "ВКС 25.07.2024.pdf".
Указанный файл замаскирован под письмо с атрибутикой Министерства Энергетики Российской Федерации, информирующее о запланированной видеоконференции, на которую необходимо зарегистрироваться по ссылке hxxps://e-trueconf[.]ru/c/782687231[.]html.
После перехода по указанной фишинговой ссылке начинается процесс загрузки вредоносного файла “trueconf.ru.exе”. В случае запуска этого файла происходит внедрение модулей ВПО, маскирующихся под легитимные службы Windows. Основной функционал ВПО — сбор информации с зараженного хоста. ВПО осуществляет взаимодействие по протоколу HTTP с доменным именем cr87986[.]tw1[.]ru.
Indicators of Compromise
IPv4
- 5.23.51.23
Domains
- cr87986.tw1.ru
- e-connection.ru
- e-trueconf.ru
- ggnpsale.ru
- mvdpmr.ru
- mvdpnr.rue-mail-password.ru
Emails
URLs
- http://cr87986.tw1.ru/L1nc0In.php
- https://e-trueconf.ru/c/782687231.html
MD5
- 365630241faf63fc7ab0c37bcac6e426
- 38710d3374787dbb59c3690f332b722a
- 96a7ce8bda9e00ed4341638aeac4e08c
SHA1
- 4e2b168965d2972597401901e9fd8d8265bf40cd
- b06b7e8c83df5980802e6b04d4639de0550c2ff4
- b453d3df84fea2d4d0c51bb2a757327d7887c411
SHA256
- 216d45e0ce2aa886d9732008a2c70bdd1e80e1711ff1f71f0f5c4aa3ae941772
- 6dc66244c1a36581963301fc48149f775ad5c773e315fc28fd864339471c4962
- 763c1f21d22b7215d36e2dbd52d141d71d9e540c19f631f63f151c283b91f0d8
- b362c56a150c46d6a977a35b1f3879c5c169f101a2e88679a84bd289e6c64761
