Меню

Уральские СМИ получили вирус от имени Минфина РФ

Подозрительные послания «с червоточиной» получил ряд изданий в Екатеринбурге, по одному в Москве и Казани. Письмо подписано замглавы ведомства. Однако в министерстве поясняют: мы не виноваты!

Первые сообщения от СМИ, которые получили письмо «с червем», поступили в Минфин РФ еще в пятницу, 4 апреля. В ведомство обратились журналисты из Татарстана и одного столичного издания, а в понедельник, 7 апреля, — редакция «Делового квартала». Полученное «ДК» послание от имени заместителя министра финансов РФ Андрея Иванова содержало прикрепленный файл, в котором как будто бы находился приказ министерства. Впрочем, вложение не открывали, а сразу передали специалистам.

«Мишенями мошенников часто становятся крупные компании, в том числе и государственные, — рассказала «ДК» старший спам-аналитик «Лаборатории Касперского» Татьяна Щербакова. — Злоумышленники рассылают спам при помощи специального ПО, которое позволяет им автоматически генерировать большое количество разных адресов и подставлять их в поле отправителя. Отмечу, что в данном примере письмо написано от имени реального сотрудника Минфина. Скорее всего, спамеры взяли информацию о нем с сайта министерства и тем самым постарались придать письму легитимный вид, указав в нем правдивую информацию».

Эксперт поясняет, что одноименный исполняемый файл в формате exe в письме «от Минфина» содержался в rar-архиве. Вирус определяется «Лабораторией Касперского» как кейлоггер Aux Logger v2.0. Это программа, которая собирает информацию о том, какие клавиши нажимает жертва. Таким образом мошенники получают информацию о действиях пользователя, в том числе о введенных им логинах и паролях, а также дополнительные данные (например о версии операционной системы и другие). Результаты червь отсылает мошенникам, в данном случае — на адрес mail.ru.

«Еще стоит обратить внимание на название файла в архиве «Приказ №22Н Минфина РФ от 3 апреля 2014 г. в формате Adobe reader PDF.exe», — подчеркивает г-жа Щербакова. — Мошенники указывают два формата PDF.exe, чтобы пользователь не заметил, что на самом деле файл в формате exe, а не pdf».

Поскольку число обратившихся в Минфин получателей вируса оказалось небольшим, в министерстве решили пока не вывешивать предупреждения на официальном сайте, однако его опубликуют, если письма продолжат поступать в СМИ.

«Почтовый сервер Минфина в полном порядке, происшествие с нами никак не связано, — рассказали «ДК» в пресс-службе министерства. — Как пояснили нам в ИТ-отделе, рассылка производилась с американского адреса, мы с этими письмами сделать ничего не можем, поскольку они не имеют к нам никакого отношения. Сервер Минфина уже неоднократно пытались взломать, но до сих пор — совершенно безуспешно».

Авторы: Ая Шафран, Сергей Дружинин