SecAtor пишет https://www.tg-me.com/true_secator:

Исследователи F.A.C.C.T. сообщают об обнаружении новой угрозы – FakeTicketer, которая действует как минимум с июня 2024 года, основной мотивацией, предположительно, является шпионаж, а вероятными целями — чиновники и спортивные функционеры.

Под видом билетов на матчи футбольной премьер-лиги России и соревнований по гребле FakeTicketer рассылал уникальное вредоносное ПО — стилер, RAT и дроппер с возможностью кражи данных из браузеров.

Вариации вредоносного ПО получили название Zagrebator, указывающее на уникальный артефакт, обнаруженный специалистами компании в ходе исследования.

В первой обнаруженной F.A.C.C.T. атаке в качестве документа-приманки использовались билеты на матчи футбольной премьер-лиги России, позже – на соревнования по водной гребле на байдарках и каноэ. Благодаря этой тактике злоумышленник и получил свое наименование. 

Впоследствии данные, полученные при анализе ВПО от FakeTicketer, позволили специалистам вскрыть ещё две атаки с использованием этих вредоносных ПО.

К этому времени злоумышленник сменил маскировку, начал использовать в качестве приманок официальные документы: в октябре это был скан школьного аттестата, в декабре – нормативные акты администрации города Симферополя Республики Крым.

Предположительно, злоумышленник рассылал электронные письма с вложением в виде архива, имя которого дублирует тему письма. Вложенный архив содержит исполняемый файл с аналогичным именем, связанным с легендой атаки.

Ресерчеры классифицировали исполняемый файл внутри архива как Zagrebator.Dropper.

Он извлекает в зараженную систему исполняемый файл (Zagrebator.Stealer или Zagrebator.RAT), а также файл-приманку (BMP или PDF).

После чего создает LNK-файл в startup-директории для закрепления следующей стадии в системе и отображает файл-приманку.

В последней обнаруженной атаке в декабре 2024 Zagrebator.Dropper был незначительно обновлён: помимо описанных выше действий, ВПО также поддерживало сбор и эксфильтрацию данных авторизации из браузеров Mozilla, Opera, Microsoft Edge, Chrome.

Как отмечают в F.A.C.C.T., Zagrebator.RAT – это исполняемый файл, написанный на .NET, который поддерживает следующие команды различные команды с файлами, в том числе на перегрузку системы.

Zagrebator.Stealer также является исполняемым файлом, написанным на .NET, он имеет функциональные возможности для эксфильтрации файлов из зараженной системы.

Эксфильтрация реализуется по следующему алгоритму: приложение скандирует все диски на ПК и рекурсивно ищет на них файлы документов и баз данных (с расширениями *.anb, *.csv, *.doc, *.docx, *.xls, *.xlsx, *.pdf, *.txt), пропуская системные каталоги, создаёт %AppData%\WMI\[BOT_GUID].dat, в который записывает хэш-суммы найденных файлов.

Затем проверяет по хэш-сумме и, если файл не был ранее обработан, отправляет его содержимое на С2-адрес.

Отправка файла выполняется по HTTPS-протоколу с помощью PUT-запросов.

В целом, злоумышленник использует самописное вредоносное ПО, что позволяет ему быть более скрытным и обходить определённые системы обнаружения в ходе эксплуатации цепочки атаки на зараженной системе, преследуя цель шпионажа и нацеливаясь на госсектор.

Подробности атак и IoC - в отчете.