Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, попереджає про розповсюдження небезпечного файлу з назвою «Доповідь_050722_4.ppt». Файл містить зображення-мініатюру, на якій згадується Оперативне командування «Південь». У файлах міститься програма-вимагач «AgentTesla».
- Хакери атакували українські радіостанції та розповсюджували фейки
- Microsoft: росія активізувала кібератаки під час повномасштабної війни в Україні
У випадку відкриття документу та активації макросу останній забезпечить створення файлів “gksg023ig.lnk” та “sgegkseg23mjl.exe”. А також виконання LNK-файлу за допомогою rundll32.exe. Це, в свою чергу, призведе до запуску згаданого EXE-файлу.
Виконуваний файл є NET-програмою, обфускованою за допомогою ConfuserEx. Вона здійснює завантаження JPEG-файлу “thumb_d_F3D14F4982A256B5CDAE9BD579429AE7.jpg”, пошук відповідного офсету, дешифрування та декомпресію даних і запуск отриманої в результаті .NET-програми MCMDiction.exe (дата компіляції: 2022-07-08).
Надалі, після ряду перетворень (Gzip, AES, base64, XOR), на комп’ютері буде виконано шкідливу програму-стілер AgentTesla. Зважаючи на ім’я та контент-приманку PPT-документу, припускається, що атаку було спрямовано на державні організації України.