«Лаборатория Касперского» предупредила о вредоносной рассылке якобы от имени одного из финансовых регуляторов.
В компании сообщили, что рассылка началась в 23:30 29 сентября 2021 года. На электронную почту пользователей пришло письмо с темой: «Исх: № (здесь указывался произвольный номер). «Название регулятора» (Запрос документов)».
На данный момент эксперты видят более 11 000 попыток запуска этого вредоносного вложения, которое выглядит так:
Письмо содержит ПО для удалённого доступа (RMS). Эксперты «Лаборатории Касперского» отмечают, что при работе этого софта используются IP-адреса и домен в зоне ru, а при подключении к командным серверам задействованы порты 5651, 4443, 8080.
В компании рассказали, как поступить, если пользователь уже открыл вложение:
В «Лаборатории Касперского» отметили, что большинство антивирусов, включая их собственный, блокируют это ПО с вердиктом Backdoor.Win32.RABased.