НБУ курс:

USD

41,93

-0,00

EUR

43,58

-0,00

Наличный курс:

USD

42,35

42,30

EUR

44,40

44,15

Новая кибератака на бухгалтеров: хакеры рассылают вирус под видом "счета-фактуры"

Фото: Pixabay
Фото: Pixabay

Правительственная команда реагирования на компьютерные чрезвычайные происшествия (CERT-UA) при Госслужбе спецсвязи и защиты информации 13 июля зафиксировала массовую рассылку электронных сообщений с темой "Счет-фактура" с вредноносным содержанием.

Как говорится в ее сообщении, в таких письмах содержится вложение в виде файла "Акт_Звiрки_та_рах.факт_вiд_12_07_2023.zip", содержащий VBS-файл "рахунок_вiд_12_07_2023_до_оплати.vbs". Открытие последнего обеспечит загрузку и запуск вредоносного приложения SmokeLoader.

"На этот раз конфигурационный файл вредоносной программы содержит 45 доменных имен, из которых только 5 на момент анализа имеют A-запись (IP-адрес: 193.106.174[.]173; провайдер @iqhost[.]ru, Россия). Следует обратить внимание на тот факт, что с целью обеспечения живучести функционал SmokeLoader'а предусматривает возможность определения актуальных A-записей для доменных имен путем обращения к DNS-серверам сервиса @dnspod[.]com", - сообщают в CERT-UA.

Там отмечают, что снова для распространения писем использованы скомпрометированные учетные записи электронной почты. В Госспецсвязи также отмечают целесообразность ограничения возможности использования пользователями Windows Script Host (wscript.exe, cscript.exe), а также PowerShell.

По данным CERT-UA, указанная атака совершена группой, которой присвоен идентификатор UAC-0006. Подобные рассылки с вирусом SmokeLoader она производила уже неоднократно. В частности, об этом в Госспецсвязи сообщали 5 и 29 мая текущего года.

Ранее же финансово мотивированная активность группы UAC-0006 фиксировалась еще с 2013 по июль 2021 года. Типичная задумка злоумышленников заключается в поражении компьютеров бухгалтеров, посредством которых осуществляется обеспечение финансовой деятельности, например, доступ к системам дистанционного банковского обслуживания; похищение аутентификационных данных (логина, пароля, ключа/сертификата) и создание несанкционированных платежей.

Напомним также, что недавно была зафиксирована кибератака с приманкой, замаскированной под статью известного украинского СМИ, а также мошенническую активность в отношении пользователей сервиса электронной почты Ukr.net.