Сегодня компания F.A.C.C.T., занимающаяся информационной безопасностью, опубликовала на портале «Хабр» информацию о том, что киберпреступники рассылают российским компаниям троян DarkWatchman RAT под видом мобилизационных предписаний или повесток.

Сегодня, 10 мая, автоматизированная система защиты электронной почты Business Email Protection компании F.A.С.С.T. зафиксировала масштабную почтовую рассылку и заблокировала более 600 вредоносных писем, которые распространялись под видом мобилизационных повесток.

Письма направлены российским компаниям, HR-специалистам и секретарям якобы от имени Главного Управления Военного Комиссариата МО РФ с поддельного адреса электронной почты mail@voenkomat-mil.ru. В них говорится, что получатели обязаны явиться 11 мая к 8:00 в военкомат для проверки данных. В приложении якобы находится оригинал электронной повестки.

Однако на самом деле внутри zip-архива под названием «Мобилизационное предписание №5010421409-ВВК от 10.05.2023.zip» находился exe-файл, который при запуске устанавливал на компьютер жертвы троян удаленного доступа DarkWatchman RAT.

Ранее троян DarkWatchman RAT использовался хакерской группой Hive0117 в качестве разведывательного инструмента на первоначальной стадии атаки. В прошлом были зафиксированы рассылки с таким трояном, замаскированные под официальные сообщения Федеральной службы судебных приставов при правительстве России.

По данным F.A.С.С.T., потенциальными жертвами атаки могли быть банки, IT-компании, промышленные предприятия, компании малого и среднего бизнеса.