Мошенники используют платежные электронные письма для кибератак: что надо знать

Мошенники используют платежные электронные письма для кибератак: что надо знать

Киев  •  УНН

8 мая 2023, 09:07 • 1085702 просмотра

КИЕВ. 8 мая. УНН. Правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA обнаружила и исследовала факт распространения хакерской группировкой UAC-0006 электронных писем с использованием скомпрометированных учетных записей с темой «счета/оплаты» с приложением в виде ZIP-архива. Об этом пишет УНН с ссылкой на Государственную службу специальной связи и защиты информации Украины. 

Детали

Упомянутый ZIP-архив является файлом-полиглотом, содержащим документ-приманку и JavaScript-файл, который, используя PowerShell, обеспечит загрузку и запуск исполняемого файла. Последний, в свою очередь, осуществит запуск вредоносной программы SmokeLoader.

Даты регистрации доменных имен, а также дата компиляции файла свидетельствуют о том, что кампания инициирована в апреле 2023 года.

«Активность группы UAC-0006 является финансово мотивированной и осуществлялась с 2013 года по июль 2021 года. Новая активность является своеобразным «возвращением» группы. Типичный злонамеренный замысел заключается в поражении ЭВМ бухгалтеров (с помощью которых осуществляется обеспечение финансовой деятельности, например, доступ к системам дистанционного банковского обслуживания), похищении аутентификационных данных (логин, пароль, ключ / сертификат) и создании несанкционированных платежей (в некоторых случаях с использованием HVNC-бота, непосредственно с пораженной ЭВМ)», – отмечают в CERT-UA

Учитывая, что упомянутой группой на этапе первичного поражения типично используются JavaScript-загрузчики, временно минимизировать вероятность поражения возможно путем блокировки запуска wscript.exe (Windows Script Host) на ЭВМ, предупредили в ведомстве.

ЧИТАЙТЕ ТАКЖЕ: Как не стать жертвой мошенников в интернете: советы