Урядова команда реагування на компʼютерні надзвичайні події України CERT-UA виявила нову загрозу. Хакерське угрупування UAC-0006 розповсюджувало електронні листи із використанням скомпрометованих облікових записів з темою «рахунку / оплати» із додатком у вигляді ZIP-архіву.
- Як обрати надійний пароль: головні правила та поширені помилки
- Хакери намагаються атакувати українців фейковими оновленнями операційної системи
- російські хакери використали для атаки легітимне програмне забезпечення
Чим небезпечні такі електронні листи?
Згаданий ZIP-архів є файлом-поліглотом, що містить документ-приманку та JavaScript-файл. Він, використовуючи PowerShell, забезпечить завантаження та запуск виконуваного файлу. Останній, своєю чергою, здійснить запуск шкідливої програми SmokeLoader. Дати реєстрації доменних імен, а також дата компіляції файлу свідчать про те, що кампанію ініційовано у квітні 2023 року.
У CERT-UA зауважують, що активність групи UAC-0006 є фінансово мотивованою та здійснювалась від 2013 року по липень 2021 року. Нова активність є своєрідним «поверненням» групи. Типовий зловмисний задум полягає в ураженні ЕОМ бухгалтерів (за допомогою яких здійснюється забезпечення фінансової діяльності, наприклад, доступ до систем дистанційного банківського обслуговування), викраденні автентифікаційних даних (логін, пароль, ключ / сертифікат) та створенні несанкціонованих платежів (у деяких випадках з використанням HVNC-боту, безпосередньо з ураженої ЕОМ).
Враховуючи, що згаданою групою на етапі первинного ураження типово використовуються JavaScript-завантажувачі, тимчасово мінімізувати вірогідність ураження можливо шляхом блокування запуску wscript.exe (Windows Script Host) на ЕОМ.
Загальна інформація щодо атаки та індикатори кіберзагроз доступні за посиланням.