Специалисты компании «Доктор Веб» сообщили, что в интернете участились случаи распространения фишинговых писем, которые злоумышленники рассылают якобы от имени российского регистратора доменов, компании «Региональный Сетевой Информационный Центр» (Ru-Center). За последние две недели такие рассылки фиксировались дважды. В них мошенники предлагают администраторам сайтов разместить на сервере специальный PHP-файл, что приведет к компрометации интернет-ресурса.

Для рассылки мошеннических писем киберпреступники используют, по всей видимости, базу контактов администраторов доменов, зарегистрированных в компании Ru-Center. Ссылаясь на некие изменения в правилах ICANN, злоумышленники предлагают администратору домена создать в корневой директории сайта php-файл определенного содержания, якобы с целью подтвердить право использования этого домена получателем сообщения. Само письмо содержит логотип компании «Региональный Сетевой Информационный Центр» (Ru-Center) и отправлено якобы от ее имени.

Файл, который предлагают сохранить в корневой папке сайта злоумышленники, содержит команду, способную выполнить заданный в переменной произвольный код. Этот код киберпреступники могут передать размещенному на сервере скрипту в виде GET или POST-запроса.

Источник: @ASTERA