Новый вредонос в письмах от МВД атакует российские компании

Эксперты F6 зафиксировали новые атаки группировки ReaverBits, нацеленные на российские компании. В недавних атаках использовались усовершенствованный Meduza Stealer и новый бэкдор ReaverDoor. Как выявить вредоносы таких классов, рассказала аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева.

В январе 2025 года ReaverBits осуществила рассылку писем от имени МВД России. В сообщениях содержалась ссылка на якобы официальный документ, однако при переходе жертва загружала заражённый исполняемый файл «Повестка». После загрузки вредоноса осуществлялась проверка языка, установленного в браузере жертвы: если в настройках браузера установлен русский язык, происходило перенаправление на вредоносный ресурс, в противном случае пользователь попадал на официальный сайт МВД. В файле находился загрузчик, основанный на легитимном инструменте NBTExplorer, который скачивал и запускал Meduza Stealer.

«Детектирование сложного ВПО — это нетривиальная задача, которую требуется решать с помощью продвинутых средств анализа сетевого трафика (NTA) и настройки правил блокировки поступающего контента на безопасных почтовых шлюзах (SEG). Для грамотной настройки средств защиты необходимы актуальные сведения о трендах в даркнете, основанные на проактивной разведке угроз (Threat Intelligence & Threat Hunting). В соответствии с внутренними регламентами эксперты GSOC компании "Газинформсервис" анализируют и собирают новые индикаторы злонамеренной активности из внешних источников по всей "Пирамиде боли" злоумышленника. Далее эти сведения задействуются в детективных и превентивных механизмах защиты инфраструктуры. Напоминаю, что "точкой" входа для такого ВПО являются пользователи. Важность курсов по антифишингу играет значительную роль в безопасности компании», — говорит эксперт компании «Газинформсервис» Ирина Дмитриева.