Киберпреступники пытаются воспользоваться критической ситуацией, сложившейся в связи с массовыми атаками вымогательского ПО REvil через MSP-провайдера Kaseya, и рассылают потенциальным жертвам спам-письма с полезной нагрузкой Cobalt Strike, замаскированной под обновления безопасности для Kaseya VSA.

В обнаруженной специалистами Malwarebytes Threat Intelligence спам-кампании используется два способа развертывания полезной нагрузки Cobalt Strike. Злоумышленники рассылают потенциальным жертвам письма с вредоносным вложением и встроенной ссылкой, выглядящей так, будто это патч от Microsoft для уязвимости нулевого дня в Kaseya VSA. Когда жертва запускает вредоносное вложение или загружает и запускает поддельный патч, злоумышленники получают постоянный удаленный доступ к ее компьютеру.

Источник: securitylab.ru