Компания Group-IB зафиксировала с 9 по 16 сентября фейковую рассылку писем от имени руководства Московского государственного университета имени М.В. Ломоносова, в которых содержится программа для кражи паролей. Среди получателей – финансовые, промышленные и государственные организации России. В письме злоумышленники от имени Виктора Садовничего просят получателей ознакомиться с прикрепленным документом – описанием бюджета на 2020 год – и оперативно выслать свое коммерческое предложение.

В компании отмечают, что сами письма написаны довольно безграмотно, со стилистическими ошибками, порядок слов и предложений указывает на машинный перевод. «Судя по всему, злоумышленники поленились поменять или проверить перед рассылкой все ссылки в шаблоне, что свидетельствует о подобных атаках от имени других иностранных университетов», – сообщает ТАСС со ссылкой на пресс-службу компании. В фейковых письмах отправителем указаны admin@msu.ru или admin@rector.msu.ru, но в действительности письма уходили с скомпрометированного почтового сервера португальского отеля.

«Все письма содержали .zip архив с именем „Запрос коммерческого предложения“ с исполняемым файлом .exe внутри. При запуске устанавливалась вредоносная программа из семейства Loki PWS, предназначенная для кражи с зараженного компьютера логинов и паролей. В дальнейшем злоумышленники могут использовать их для получения доступа к почтовым аккаунтам или криптокошелькам, для финансового мошенничества, шпионажа или продать похищенные данные на хакерских форумах», – добавили в компании.

«Ни ректор МГУ, ни административные подразделения ректората университета никогда не рассылают писем с подобным содержанием. Службы информационной безопасности МГУ обеспечивают постоянный мониторинг и контроль внутренних информационных систем. Напоминаем, что мошеннические письма могут быть очень убедительными, использовать официальный стиль и содержать фирменные логотипы», – сообщил заместитель начальника отдела информационных технологий МГУ Василий Кузьмин.