«Лаборатория Касперского» зафиксировала всплеск вредоносных рассылок якобы от университетов

Вредоносные письма были написаны в том числе от имени МГУ им. М. В. Ломоносова, Бухарестского университета Румынии, Рейнско-Вестфальского технического университета города Ахена, Университета Аристотеля в Салониках, Анкарского университета, Автономного Университета Нуэво-Леон, Католического университета Боливии.

В рамках такой рассылки пользователь получает письмо с вложением — архивом или привычным офисным документом, содержащим макрос. В сообщении злоумышленник может представиться сотрудником или подрядчиком университета и сообщить, что выслал некое «предложение», «приложил бюджет» или просит посмотреть заказ или прайс-лист, находящийся во вложении.

Вложение содержит вредоносное ПО, которое использует уязвимость в старых версиях программ из пакета Microsoft Office. Если пользователь открывает вложение, он открывает путь зловреду, с помощью которого злоумышленник может загружать в систему любые файлы, выгружать из неё конфиденциальные данные, в частности пароли, документы, и запускать какие-либо команды для дальнейшего заражения.

«Для убедительности злоумышленники используют логотипы университетов и ссылаются на какого-либо известного сотрудника вуза. Однако при внимательном прочтении обнаруживается, что, во-первых, адрес, с которого пришло сообщение, часто не имеет отношения к университету. Во-вторых, несвязность текста наводит на мысль, что это автоматический перевод с другого языка — то, чего, скорее всего, не допустит представитель вуза. Более того, в рассылке часто используется классический приём спамеров — исполняемый файл с двойным расширением вроде .pdf.exe», — рассказывает Андрей Ковтун, руководитель группы защиты от почтовых угроз в «Лаборатории Касперского».

* Данные основаны на анонимизированной статистики срабатывания решений «Лаборатории Касперского» в период с января по апрель 2022 года.