CERT-UA попереджає про кібератаки з використанням листів на тему "рахунку / оплати"
Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA) при Держслужбі спецзв’язку та захисту інформації 24 липня зафіксувала вже третю за останні десять днів кібератаку угрупування UAC-0006 з використанням листів на тему "рахунку / оплати" для запуску шкідливої програми SmokeLoader. Як ідеться у її повідомленні, попередня була лише 21 липня.
Зазначається, що повідомлення, які приходять користувачам, містять вкладення у вигляді архівного файлу, доступний користувачеві вміст якого залежатиме від програми-архіватора, за допомогою якого цей архів буде відкрито.
Так, у разі застосування WinRAR згаданий файл-"поліглот" міститиме ZIP-архів з розширенням ".pdf", в якому знаходитимуться JavaScript-файли (атака від 21 липня) або ZIP-архів із розширенням ".docx" (24 липня).
Вказано, що останній містить виконуваний файл "Pax_ipn_18.07.2023p.jpg", JavaScript-завантажувач "2.Витяг з реeстру вiд 24.07.2023р_Код документа 9312-0580-6944-3255.xls.js" та SFX-архів "1.Платiжна iнструкцiя iпн та вытяг з реестру Код документа 9312-0580-6944-3255.exe" з файлом-приманкою "document_payment.docx" (копія "Платiжна iнструкцiя Приват_банк.docx") та BAT-скриптом "passport.bat", призначеним для запуску "Pax_ipn_18.07.2023p.jpg", що є копією завантажуваного "weboffice.exe".
Для масового розповсюдження електронних листів зловмисники використовують ботмережі (більше 1000 комп'ютерів). На думку фахівців, це свідчить про застосування для атаки вже скомпрометованих автентифікаційних даних, отриманих з уражених до цього комп'ютерів.
"Поновлена активність згаданого угрупування призведе до підвищення кількості випадків шахрайства з використанням систем дистанційного банківського обслуговування", - йдеться у повідомленні.
Керівників підприємств та безпосередньо бухгалтерів закликають убезпечити автоматизовані робочі місця, призначені для формування, підписання та відправки платежів, застосувавши відповідні програми, а також обмежити можливості запуску штатних утиліт (wscript.exe, cscript.exe, powershell.exe, mshta.exe) та фільтрувати вихідні інформаційні потоки.
-
Закон підписано: В Україні зменшили мобілізаційний вік
03.04.2024 / 09:05 -
Зеленський звільнив Залужного і призначив нового головнокомандувача ЗСУ
08.02.2024 / 19:44
Ідеї оформлення, стиль та весь зміст сайту www.capital.ua є об'єктом авторського права та охороняються законом. Будь-яке використання матеріалів сайту допускається тільки при дотриманні правил передруку і за наявності гіперпосилання на www.capital.ua. Дозволяється використання тільки матеріалів, що знаходяться у відкритому доступі і лише за умови посилання та/або прямого відкритого для пошукових систем гіперпосилання на безпосередню адресу матеріалу на www.capital.ua www.capital.ua /a>. Посилання/гіперпосилання має бути розміщене в підзаголовку або першому абзаці матеріалу. Розмір шрифту посилання або гіперпосилання не повинен бути меншим за шрифт тексту використовуваного матеріалу. Будь-яке використання матеріалів, які знаходяться у закритому доступі та доступні лише зареєстрованим користувачам, допускається лише за попереднім письмовим дозволом правовласника. Категорично заборонено передрук, копіювання, відтворення, зміну або інше використання матеріалів, опублікованих з позначкою в рамках угоди про синдикацію з Financial Times Limited. Використання матеріалів, які містять посилання на агентства France-Presse, Reuters, Інтерфакс-Україна, Українські новини, УНІАН суворо заборонено. Матеріали, позначені знаком 
публікуються на правах реклами.
Всі права захищені. © 2012 - 2023