НКЦКИ предупреждает о массовой рассылке фишинговых писем от имени ФНС России

НКЦКИ предупреждает о массовой рассылке фишинговых писем от имени ФНС России

 НКЦКИ предупреждает о массовой рассылке фишинговых писем от имени ФНС России

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) предупреждает об актуальной угрозе массовой рассылки фишинговых электронных писем с вредоносным вложением в преддверии налоговой отчётности.

Злоумышленники подменяют адрес отправителя электронных писем на электронный адрес Федеральной налоговой службы российской Федерации (nalog.ru). В настоящее время известны следующие подставные источники рассылки:

  • mns@nalog.ru
  • info2@nalog.ru
  • info@nalog.ru

Электронное письмо содержит вложение в виде RAR-архива с наименованием «Запрос документов ФНС России.rar». Этот архив содержит в себе ещё один RAR-архив, разделённый на две части, и TXT-файл. При распаковке указанных архивов запрашивается пароль, содержащийся в текстовом документе. После распаковки архивов пользователь получает исполняемый файл, замаскированный под PDF-документ с наименованием «Электронный запрос документов ФНС России.pdf.exe».

При запуске исполняемого файла происходит запуск RMS-сервера. Это легитимное средство удалённого администрирования, посредством которого злоумышленники получают возможность удалённого доступа к заражённому устройству. В ходе работы RSM-сервера в списке процессов появляются характерные для его функционирования имена исполняемых файлов rutserv.exe и rfusclient.exe, а также осуществляются попытки подключения к серверу с доменным именем rmssrv.ru. На данный момент указанное доменное имя снято с делегирования.

НКЦКИ рекомендует принять следующие меры по нейтрализации угрозы:

  1. Обновить используемые антивирусные средства.
  2. Проверить на ресурсах ИТС и в сетевом трафике наличие индикаторов компрометации, представленных в файле «IOC20211001.csv».
  3. Провести мероприятия, нацеленные на повышение бдительности и осведомлённости сотрудников Вашей компании в части противодействия фишинговым атакам и иным методам социальной инженерии.
  4. При получении электронных писем с приложенными файлами производить их проверку антивирусными средствами или средствами динамического анализа.
  5. В случае выявления признаков компрометации ИТС Вашей компании сообщить об этом в НКЦКИ.

Скачать индикаторы вредоносной активности в формате CSV:  

Скачать бюллетень НКЦКИ в формате PDF: