Запланована подія 2

НБУ курс:

USD

41,51

+0,10

EUR

45,16

--0,05

Наличный курс:

USD

41,57

41,49

EUR

45,25

45,00

Свободная энергия
  1. Свободная 
  2. энергия
Три года большой войны

Три года 

большой войны
Smart Money

Smart 

Money
ТопФінанс-2025

ТопФинанс-2025
Драйверы экономики

Драйверы

экономики
Перспективы рынка труда

Перспективы

рынка труда
Сталеве серцекраїни

Сталеве серце

країни
Є сенс допомагати

Є сенс 

допомагати
путь ветеранов

Адаптация:

путь ветеранов
Категория
IT и Телеком
Дата публикации
Переключить язык
Читати українською

Новая кибератака на бухгалтеров: хакеры рассылают вирус под видом "счета-фактуры"

Фото: Pixabay
Фото: Pixabay

Правительственная команда реагирования на компьютерные чрезвычайные происшествия (CERT-UA) при Госслужбе спецсвязи и защиты информации 13 июля зафиксировала массовую рассылку электронных сообщений с темой "Счет-фактура" с вредноносным содержанием.

Як забезпечити розвиток і стійкість компаній: досвід TERWIN, NOVUS, Arcelor Mittal, СК ІНГО та 40 інших провідних топменеджерів та державних діячів.
11 квітня на Business Wisdom Summit дізнайтесь, як бізнесу адаптуватися до нових регуляторних вимог, реагувати на зміни та залучати інвестиції у нинішніх умовах. Реальні кейси від лідерів українського бізнесу.
Забронировать участие

Как говорится в ее сообщении, в таких письмах содержится вложение в виде файла "Акт_Звiрки_та_рах.факт_вiд_12_07_2023.zip", содержащий VBS-файл "рахунок_вiд_12_07_2023_до_оплати.vbs". Открытие последнего обеспечит загрузку и запуск вредоносного приложения SmokeLoader.

"На этот раз конфигурационный файл вредоносной программы содержит 45 доменных имен, из которых только 5 на момент анализа имеют A-запись (IP-адрес: 193.106.174[.]173; провайдер @iqhost[.]ru, Россия). Следует обратить внимание на тот факт, что с целью обеспечения живучести функционал SmokeLoader'а предусматривает возможность определения актуальных A-записей для доменных имен путем обращения к DNS-серверам сервиса @dnspod[.]com", - сообщают в CERT-UA.

Там отмечают, что снова для распространения писем использованы скомпрометированные учетные записи электронной почты. В Госспецсвязи также отмечают целесообразность ограничения возможности использования пользователями Windows Script Host (wscript.exe, cscript.exe), а также PowerShell.

По данным CERT-UA, указанная атака совершена группой, которой присвоен идентификатор UAC-0006. Подобные рассылки с вирусом SmokeLoader она производила уже неоднократно. В частности, об этом в Госспецсвязи сообщали 5 и 29 мая текущего года.

Ранее же финансово мотивированная активность группы UAC-0006 фиксировалась еще с 2013 по июль 2021 года. Типичная задумка злоумышленников заключается в поражении компьютеров бухгалтеров, посредством которых осуществляется обеспечение финансовой деятельности, например, доступ к системам дистанционного банковского обслуживания; похищение аутентификационных данных (логина, пароля, ключа/сертификата) и создание несанкционированных платежей.

Напомним также, что недавно была зафиксирована кибератака с приманкой, замаскированной под статью известного украинского СМИ, а также мошенническую активность в отношении пользователей сервиса электронной почты Ukr.net.

Автор:
Тимофей Беспятов