Логотип "Лаборатории Касперского"
В некоторых случаях злоумышленники писали от лица контрагентов атакуемых организаций в ответ на уже существующую цепочку писем. Возможно, они использовали взломанные почтовые ящики этих контрагентов либо ранее похищенные переписки. Письма, продолжающие старую переписку, вызывают больше доверия у потенциальных жертв.
Атакующие распространяли RAR-архив, который мог находиться во вложении или скачиваться из облачного хранилища по ссылке в теле письма. В большинстве случаев архив был защищён паролем, который также был указан в письме. Внутри него находился документ-приманка, а также одноимённая папка, содержащая файл, обычно с двойным расширением (например, "Счёт-Фактура.pdf .exe"). Такая структура архива используется для эксплуатации уязвимости CVE-2023-38831.
Злоумышленники постоянно меняли легенду, под видом которой просили скачать и открыть вредоносный архив, создавали уникальные и убедительные тексты писем, чтобы не вызывать сомнений у потенциальных получателей зловреда.
В случае открытия этого файла на устройство жертвы должно было установиться вредоносное ПО семейства Backdoor.Win64.PhantomDL, которое использовалось бы для установки и запуска различных вредоносных утилит, в том числе для удалённого администрирования. Это позволило бы загружать файлы с компьютера жертвы на сервер злоумышленников.
