В «Лаборатории Касперского» зафиксировали новые атаки APT-группы «Форумный тролль» на территории России. В октябре злоумышленники рассылали поддельные письма, адресованные политологам и экономистам, работающим в вузах и научно-исследовательских институтах.
Весной в интервью Anti-Malware.ru Игорь Кузнецов, директор Kaspersky GReAT, рассказал, как исследователям удалось выявить деятельность «Форумного тролля» и обнаружить 0-day уязвимость в Google Chrome. Цель атак оставалась прежней — получить доступ к Windows-компьютерам российских специалистов.
Чтобы побудить получателей перейти по вредоносной ссылке, злоумышленники обвиняли их в плагиате. «Учёные часто становятся мишенью злоумышленников, особенно если их контакты доступны в открытых источниках, — отмечает эксперт Kaspersky GReAT Георгий Кучерин. — Фишинговые письма с обвинениями в плагиате вызывают тревогу у академиков, поэтому риск попасться на такую ловушку высок».
Рассылки проводились якобы от имени научной библиотеки eLibrary с поддельного адреса @e-library[.]wiki. Введённое в заблуждение название было зарегистрировано в марте 2025 года, а копия главной страницы elibrary.ru для фейкового сайта (уже заблокированного) была подготовлена ещё в декабре 2024 года. Письма предлагали ознакомиться с результатами проверки на плагиат по указанной ссылке. При переходе по ней на Windows-машину загружался ZIP-файл с фамилией получателя. Пользователям других систем предлагалось повторить попытку с подходящего устройства.
