Поделиться
«Как вам такое»: фишинг под маской политики выманивает деньги
В мае 2025 года обнаружена новая изощренная вымогательская кампания RansomDOGE, нацеленная на сторонников Илона Маска. Об этом CNews сообщили представители компании «Газинформсервис»,
Ирина Дмитриева, киберэксперт и инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис», рассказала, что атака развивается с классического хода социальной инженерии — жертве приходит письмо с PDF-файлом, якобы содержащим информацию о корректировке зарплаты.
«Открытие этого файла запускает цепочку событий, приводящих к заражению системы вымогательским ПО Fog Ransomware», — отметила киберэксперт. Схема атаки включает в себя перенаправление на сервер Netlify, загрузку ZIP-архива с вредоносным ярлыком и выполнение серии PowerShell-скриптов.
«Первый скрипт (Pay.ps1) загружал компоненты, включая stage1.ps1 и trackerjacker.ps1. Последний использовал XOR-обфускацию для сокрытия от обнаружения и выполнял разведку системы. Дополнительно скрипт lootsubmit.ps1 собирал геолокационные данные с помощью API WIGLE (Wireless Geographic Logging Engine). Основной вредоносный компонент, cwiper.exe, шифровал файлы жертвы, а ktool.exe использовал уязвимость в драйверах Intel для получения доступа на уровне ядра», — сказала Ирина Дмитриева.
Особенностью атаки, по рассказу Дмитриевой, была насмешливая записка с требованием выкупа, подписанная именем «Эдвард Користин», связанным с криптовалютой DOGE. Записка содержала сатирические комментарии в адрес сторонников Маска и указывала правительственные электронные адреса в качестве контактов для поддержки. При запуске вредоносного ПО воспроизводилось видео на YouTube, высмеивающее Илона Маска, что служило отвлекающим маневром для сбора и эксфильтрации конфиденциальных данных.
Несмотря на политический подтекст, RansomDOGE преследует финансовые цели и использует кошелек Monero для получения выкупа. «Злоумышленники сочетают техническую подкованность с социальной инженерией, используя политический контекст как прикрытие», — сказала Дмитриева.
«В таких инцидентах при атаках на пользователей компании ярко проявляется ценность экспертной команды SOC. В кейсе RansomDOGE при идеальной стратегии защиты, если политическая мотивация может применяться в отношении компании или используется криптовалюта, важно моментально распознать поведенческие шаблоны, проанализировать обфускацию и разработать сигнатуры для обнаружения cwiper.exe и аномалий, связанных с использованием уязвимых драйверов Intel. Наши аналитики GSOC компании Газинформсервис могут не просто фиксировать угрозу — они анализируют каждую ниточку схемы атаки, от первой строки PowerShell до механизмов перехвата на уровне ядра. Аналитики занимаются Threat Hunting и следят за эволюцией инструментов угроз в реальном времени и реагируют до того, как вредонос успеет внедриться глубоко в инфраструктуру», — сказала Дмитриева.
Поделиться
Короткая ссылка
