选举过程已成为盗窃俄罗斯人个人数据的掩护

阅读量29116

发布时间 : 2024-04-01 11:03:26

在俄罗斯联邦最近举行总统选举的背景下,FACCT 研究人员发现了一项欺诈行为,该行为伪装成 CEC 官方文件(包括选举选票)分发数据窃贼。

这一发现涉及一种名为 SapphireStealer 的恶意软件,该恶意软件针对 Windows,能够从网络浏览器和 Telegram 桌面客户端窃取凭据。

特别令人担忧的是,为了传播恶意软件,诈骗者使用了模仿俄罗斯政府官方资源的虚假网站。

据研究人员称,SapphireStealer 甚至在选举之前就开始传播。该恶意软件是用 C# 编写的,能够收集用户数据、截图并通过 Telegram 或电子邮件向攻击者发送窃取的信息。

值得注意的是,该信息窃取程序的源代码早在 2022 年 3 月就首次出现在公共领域,这表明网络犯罪分子可以广泛利用它。

专家讨论的 SapphireStealer 攻击是通过一个名为“About Provides information aboutcomingelections.exe”的可执行文件进行的。该文件不仅激活了窃取程序,还从攻击者的服务器下载了额外的恶意负载。

为了吸引受害者的注意力并降低他们的警惕性,在启动恶意程序的同时,一个合法的 PDF 文档被打开,该文档由多个页面组成,与即将到来的(当时)选举直接相关。

诱饵文件的内容

在分析恶意操作时,专家指出诈骗者使用了几个假域名:“govermentu[.]ru”和“supgov[.]ru”,但第二个显然从未在真正的攻击中使用过。

在 完整报告中 ,FACCT 提供了该恶意软件的所有技术细节,包括危害指标和蜜罐文件的特征。除此之外,专家强调了认识此类威胁的重要性,并呼吁在处理可疑文件和链接时保持警惕。

尽管总统选举已经举行,但今年9月8日,俄罗斯公民将迎来统一投票日。负责这次攻击的攻击者可能会为了这一天而重复他们的恶意操作。

 

本文转载自:

如若转载,请注明出处: https://www.securitylab.ru/news/547144.php

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66