
Билет, которого нет: специалисты F.A.C.C.T. обнаружили новую угрозу – FakeTicketer
Аналитики департамента киберразведки F.A.C.C.T. Threat Intelligence исследовали рассылки злоумышленника, получившего название FakeTicketer. Он действует как минимум с июня 2024 года, основной мотивацией, предположительно, является шпионаж, а вероятными целями — чиновники и спортивные функционеры. Под видом билетов на матчи футбольной премьер-лиги России и соревнований по гребле атакующий рассылал уникальное вредоносное ПО — стилер, троян удалённого доступа (RAT) и дроппер с возможностью кражи данных из браузеров. Эти вариации вредоносного ПО получили название Zagrebator, указывающее на уникальный артефакт, обнаруженный специалистами компании в ходе исследования.
В первой обнаруженной специалистами F.A.C.C.T. атаке в качестве документа-приманки использовались билеты на матчи футбольной премьер-лиги России, позже – на соревнования по водной гребле на байдарках и каноэ. Эта тактика и подарила злоумышленнику кодовое имя.
Впоследствии данные, полученные при анализе ВПО от FakeTicketer, позволили специалистам F.A.C.C.T. обнаружить ещё две атаки с использованием этих вредоносных программ. К этому времени злоумышленник сменил маскировку, начал использовать в качестве приманок официальные документы: в октябре это был скан школьного аттестата, в декабре – нормативные акты администрации города Симферополя Республики Крым.
Предположительно, злоумышленник рассылал электронные письма с вложением в виде архива, имя которого дублирует тему письма. Вложенный архив содержит исполняемый файл с аналогичным именем, связанным с легендой атаки.
Специалисты F.A.C.C.T. классифицировали исполняемый файл внутри архива как Zagrebator.Dropper. Он извлекает в зараженную систему исполняемый файл (Zagrebator.Stealer или Zagrebator.RAT), а также
Читать на habr.com

