Мошенники в Сети начали выдавать себя за Минцифры РФ

Компания MalwareBytes, специализирующаяся на кибербезопасности, сообщила о новой мошеннической схеме, которая таргетируется на пользователей из России.

Злоумышленники отправляют электронные письма на русском языке от лица Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации. В них сообщается, что ведомство начинает мониторинг и фиксацию доступа к запрещённым сайтам и веб-сервисам, список которых указан в прикреплённом документе.

Файл, имеющий формат RTF, содержит ссылку, эксплуатирующую уязвимость в движке MSHTML. Она позволяет удалённый запуск кода, когда пользователь разрешает редактирование файла — его требуют предоставить якобы для получения доступа к полному тексту документа.

Письма были отправлены пользователям с доменами электронной почты mail.ru, mvd.ru, yandex.ru, cap.ru, minobr-altai.ru, yandex.ru, stavminobr.ru, mon.alania.gov.ru, astrobl.ru, 38edu.ru, mosreg.ru, mo.udmr.ru, minobrnauki.gov.ru, 66.fskn.gov.ru, bk.ru и ukr.net. Исходя из этого, помимо обычных пользователей мошенники таргетировали:

• Официальный портал органов власти Чувашской республики;
• Министерство внутренних дел;
• Министерство образования и науки Республики Алтай;
• Министерство образования Ставропольского края;
• Министерство образования и науки Республики Северная Осетия-Алания;
• Правительство Астраханской области;
• Министерство образования Иркуктской области;
• ГосУслуги Московской области;
• Министерство науки и высшего образования Российской Федерации.

Пока неизвестно, как много пользователей стали жертвами этой атаки.