CERT-UA попереджає про кібератаки з використанням листів на тему "рахунку / оплати"

Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA) при Держслужбі спецзв’язку та захисту інформації 24 липня зафіксувала вже третю за останні десять днів кібератаку угрупування UAC-0006 з використанням листів на тему "рахунку / оплати" для запуску шкідливої програми SmokeLoader. Як ідеться у її повідомленні, попередня була лише 21 липня.

Зазначається, що повідомлення, які приходять користувачам, містять вкладення у вигляді архівного файлу, доступний користувачеві вміст якого залежатиме від програми-архіватора, за допомогою якого цей архів буде відкрито.

Так, у разі застосування WinRAR згаданий файл-"поліглот" міститиме ZIP-архів з розширенням ".pdf", в якому знаходитимуться JavaScript-файли (атака від 21 липня) або ZIP-архів із розширенням ".docx" (24 липня).

Вказано, що останній містить виконуваний файл "Pax_ipn_18.07.2023p.jpg", JavaScript-завантажувач "2.Витяг з реeстру вiд 24.07.2023р_Код документа 9312-0580-6944-3255.xls.js" та SFX-архів "1.Платiжна iнструкцiя iпн та вытяг з реестру Код документа 9312-0580-6944-3255.exe" з файлом-приманкою "document_payment.docx" (копія "Платiжна iнструкцiя Приват_банк.docx") та BAT-скриптом "passport.bat", призначеним для запуску "Pax_ipn_18.07.2023p.jpg", що є копією завантажуваного "weboffice.exe".

Для масового розповсюдження електронних листів зловмисники використовують ботмережі (більше 1000 комп'ютерів). На думку фахівців, це свідчить про застосування для атаки вже скомпрометованих автентифікаційних даних, отриманих з уражених до цього комп'ютерів.

"Поновлена активність згаданого угрупування призведе до підвищення кількості випадків шахрайства з використанням систем дистанційного банківського обслуговування", - йдеться у повідомленні.

Керівників підприємств та безпосередньо бухгалтерів закликають убезпечити автоматизовані робочі місця, призначені для формування, підписання та відправки платежів, застосувавши відповідні програми, а також обмежити можливості запуску штатних утиліт (wscript.exe, cscript.exe, powershell.exe, mshta.exe) та фільтрувати вихідні інформаційні потоки.