Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA від суб’єкту координації (Кіберцентр Державної прикордонної служби України) отримано інформацію щодо розповсюдження вірусу GammaLoad. Начебто, від імені ДП «Адміністрація морських портів України», розсилають електронні поштові повідомлення, які містять вкладення у вигляді RAR-архіву «порти АРК.rar».
- Опубліковано фрагмент дослідження кібератак 14 січня
- На офіційний сайт України здійснено кібератаку
- Європол та 10 країн відключили популярний VPN для кіберзлочинців
Цей RAR-архів містить шкідливі DOCX-документи «Щодо заходження суден під іноземним прапором в порти АР Крим на 27.01.2022.docx» і «Щодо заходження суден під державним прапором в порти АР Крим на 27.01.2022.docx». Кожен з них, у свою чергу, містить вбудовану URL-адресу.
Приклад шкідливого електронного листа та вбудованої URL-адреси
У разі відкриття документів буде завантажено і відкрито DOC-файл з макросом. Останній забезпечить виконання шкідливого VBA-коду, що призведе до ураження комп’ютера шкідливою програмою GammaLoad.
Атаку асоційовано з діяльністю групи Armageddon (відслідковується CERT-UA за ідентифікатором UAC-0010). Додаткова інформація розміщена на сайті CERT-UA.
Приклад програмного коду шкідливої програми GammaLoad