Russiske brukere ble phished

Cybersikkerhetsselskapet MalwareBytes informert om en ny svindelordning som retter seg mot brukere fra Russland.

Angripere sender e-poster på russisk på vegne av departementet for digital utvikling, telekommunikasjon og massemedier i den russiske føderasjonen. De rapporterer at byrået begynner å overvåke og fikse tilgangen til forbudte nettsteder og nettjenester, listen over disse er angitt i vedlagte dokument.

RTF-filen inneholder en kobling som utnytter en sårbarhet i MSHTML-motoren. Den tillater ekstern kjøring av kode når brukeren lar filen redigeres, tilsynelatende for å få tilgang til hele dokumentets tekst.

Brev ble sendt til brukere med e-postdomener mail.ru, mvd.ru, yandex.ru, cap.ru, minobr-altai.ru, yandex.ru, stavminobr.ru, mon.alania.gov.ru, astrobl.ru, 38edu.ru, mosreg.ru, mo.udmr.ru, minobrnauki.gov.ru, 66.fskn.gov.ru, bk.ru og ukr.net. Basert på dette, i tillegg til vanlige brukere, målrettet svindlere:

• Offisiell portal for myndighetene i Chuvash-republikken;
• innenriksdepartementet;
• departementet for utdanning og vitenskap i republikken Altai;
• Kunnskapsdepartementet i Stavropol-territoriet;
• Utdannings- og vitenskapsdepartementet i republikken Nord-Ossetia-Alania;
• Regjeringen i Astrakhan-regionen;
• Kunnskapsdepartementet i Irkutsk-regionen;
• statlige tjenester i Moskva-regionen;
• Den russiske føderasjonens departement for vitenskap og høyere utdanning.

Det er foreløpig ikke kjent hvor mange brukere som ble ofre for dette angrepet.