Sticky Werewolf получает доступ к системам государственных организаций России и Беларуси с помощью фишинговых писем со ссылками на вредоносные файлы. Для создания ссылок используется коммерческое вредоносное ПО. По данным киберразведки BI.ZONE, Sticky Werewolf активна как минимум с апреля 2023 года и к настоящему времени осуществила не менее 30 атак.

Ссылки для фишинговых писем злоумышленники создают с помощью сервиса IP Logger. Он позволяет собирать информацию о кликнувших пользователях: время перехода, IP-адрес, страну и город, версию браузера и операционную систему. Это помогает Sticky Werewolf сразу провести базовое профилирование, отсеять системы, которые не представляют для них интереса, и сосредоточить атаки на наиболее приоритетные.

Кроме того, благодаря IP Logger группировка может использовать собственные доменные имена при создании ссылок. Это затрудняет распознавание фишинга, поскольку адрес не выглядит подозрительно.

Ссылки в письмах ведут на вредоносные файлы с расширением .exe или .scr, замаскированные под документы Word или PDF. Открыв файл, жертва видит ожидаемый контент, например: экстренное предупреждение МЧС, исковое заявление или предписание об устранении нарушений. В это время в фоновом режиме на устройство устанавливается коммерческое вредоносное ПО NetWire RAT. Оно позволяет атакующим собирать информацию о скомпрометированной системе, получать данные о нажатиях клавиш, видео с экрана и веб-камеры, записывать звук микрофона и осуществлять другие действия с целью шпионажа.

NetWire копируется на устройство во временную папку под видом легитимного приложения. Чтобы дополнительно затруднить его обнаружение, Sticky Werewolf использует протектор Themida, который обеспечивает обфускацию — противодействие анализу вредоносной активности.

Олег Скулкин, руководитель управления киберразведки BI.ZONE, отметил: «Коммерческое вредоносное ПО предоставляет злоумышленникам широкие возможности за умеренную цену. Именно поэтому оно пользуется большим спросом среди киберпреступников и иностранных проправительственных группировок. Примечательно, что такие программы активно используются даже после ареста их разработчиков».

Ранее BI.ZONE опубликовала исследование, посвященное атакам на российские компании с использованием утечек программ-вымогателей, а также рассказала о случаях распространения вредоносного ПО под видом требований Роскомнадзора.