Вредоносная рассылка от имени ФНС

21.08.2020 |

Компания Group-IB совместно с Федеральной налоговой службой сообщили о фишинговой атаке, нацеленной на юридические лица и государственные учреждения. Специалисты Центра реагирования на инциденты кибербезопасности CERT-GIB зафиксировали кампанию якобы от имени ФНС: в поддельных письмах под видом вызова в налоговую киберпреступники распространяют ПО для удаленного управления компьютером.

В ходе рассылки, начавшейся 27 июля, атакуемым приходило одинаковое письмо, в адресе отправителя которого была указана почта info@nalog.ru, полностью имитировавшая легитимный домен ФНС. На самом деле письма рассылались с публичных почтовых сервисов, технические заголовки были подделаны. Автор письма просил явиться в «Главное Управление ФНС России» для «дачи показаний по движению денежных средств», а также распечатать и заполнить документы, находящиеся во вложении к письму. В случае неповиновения были обещаны санкции, предусмотренные УК РФ. Как подчеркивают в ФНС, ни организации, фигурирующей в подписи к письму, ни сотрудников, от имени которых были отправлены эти сообщения, не существует.

Как пояснили в ФНС, сообщения являются поддельными и не имеют к Федеральной налоговой службе никакого отношения. ФНС России не направляет налогоплательщикам письма о наличии задолженности и с предложениями оплатить долг в режиме онлайн. Информация о неуплаченных налогах и способах их оплаты размещается в группе сервисов «Личный кабинет налогоплательщика».

Специалисты CERT-GIB отмечают качество фишинговой атаки. В ходе анализа было установлено, что во вложении к поддельному письму находился архив zapros-dokumentov.rar, в котором был другой запароленный архив и текстовый файл с паролем от него. При открытии вложения на компьютер жертвы загружалась легитимная программа для удаленного администрирования и управления компьютером, RMS (Remote Manipulator System). Именно поэтому для большинства антивирусных средств подобное письмо не выглядело вредоносным.

Однако в данном случае ПО RMS было модифицировано таким образом, что при запуске исполняемого файла злоумышленники получали полный удаленный контроль над атакованной рабочей станцией. Как правило, такое ПО используется на первом этапе целевой атаки для закрепления в сети, дальнейшего продвижения по ней или для эксфильтрации данных с зараженной машины.

Как комментируют в CERT-GIB, рассылки с вложенными или запароленными архивами, отложенной активацией и использованием модифицированного легитимного ПО, оказываются оперативно обнаруженными только при использовании систем раннего обнаружения кибератак, задействующих алгоритмы поведенческого анализа и позволяющих изучить подозрительный файл в изолированной среде до того, как он попадет на компьютер пользователя.

В связи с тем, что рассылка вредоносных писем продолжается, CERT-GIB и ФНС рекомендуют проявить бдительность. Любые просьбы загрузить или установить файлы должны расцениваться как подозрительные. При получении подобного письма необходимо оперативно сообщить внутренней службе безопасности и работать с документами только после их проверки. В ФНС также напоминают, что официальная рассылка направляется только тем, кто указал и подтвердил адрес своей электронной почты в Личном кабинете налогоплательщика.