在俄罗斯联邦最近举行总统选举的背景下，FACCT 研究人员发现了一项欺诈行为，该行为伪装成 CEC 官方文件（包括选举选票）分发数据窃贼。

这一发现涉及一种名为 SapphireStealer 的恶意软件，该恶意软件针对 Windows，能够从网络浏览器和 Telegram 桌面客户端窃取凭据。

特别令人担忧的是，为了传播恶意软件，诈骗者使用了模仿俄罗斯政府官方资源的虚假网站。

据研究人员称，SapphireStealer 甚至在选举之前就开始传播。该恶意软件是用 C# 编写的，能够收集用户数据、截图并通过 Telegram 或电子邮件向攻击者发送窃取的信息。

值得注意的是，该信息窃取程序的源代码早在 2022 年 3 月就首次出现在公共领域，这表明网络犯罪分子可以广泛利用它。

专家讨论的 SapphireStealer 攻击是通过一个名为“About Provides information aboutcomingelections.exe”的可执行文件进行的。该文件不仅激活了窃取程序，还从攻击者的服务器下载了额外的恶意负载。

为了吸引受害者的注意力并降低他们的警惕性，在启动恶意程序的同时，一个合法的 PDF 文档被打开，该文档由多个页面组成，与即将到来的（当时）选举直接相关。

诱饵文件的内容

在分析恶意操作时，专家指出诈骗者使用了几个假域名：“govermentu[.]ru”和“supgov[.]ru”，但第二个显然从未在真正的攻击中使用过。

在 完整报告中 ，FACCT 提供了该恶意软件的所有技术细节，包括危害指标和蜜罐文件的特征。除此之外，专家强调了认识此类威胁的重要性，并呼吁在处理可疑文件和链接时保持警惕。

尽管总统选举已经举行，但今年9月8日，俄罗斯公民将迎来统一投票日。负责这次攻击的攻击者可能会为了这一天而重复他们的恶意操作。

文章原文链接:https://www.anquanke.com/post/id/295174