Новая кибератака на бухгалтеров: хакеры рассылают вирус под видом "счета-фактуры"

Как говорится в ее сообщении, в таких письмах содержится вложение в виде файла "Акт_Звiрки_та_рах.факт_вiд_12_07_2023.zip", содержащий VBS-файл "рахунок_вiд_12_07_2023_до_оплати.vbs". Открытие последнего обеспечит загрузку и запуск вредоносного приложения SmokeLoader.

"На этот раз конфигурационный файл вредоносной программы содержит 45 доменных имен, из которых только 5 на момент анализа имеют A-запись (IP-адрес: 193.106.174[.]173; провайдер @iqhost[.]ru, Россия). Следует обратить внимание на тот факт, что с целью обеспечения живучести функционал SmokeLoader'а предусматривает возможность определения актуальных A-записей для доменных имен путем обращения к DNS-серверам сервиса @dnspod[.]com", - сообщают в CERT-UA.

Там отмечают, что снова для распространения писем использованы скомпрометированные учетные записи электронной почты. В Госспецсвязи также отмечают целесообразность ограничения возможности использования пользователями Windows Script Host (wscript.exe, cscript.exe), а также PowerShell.

По данным CERT-UA, указанная атака совершена группой, которой присвоен идентификатор UAC-0006. Подобные рассылки с вирусом SmokeLoader она производила уже неоднократно. В частности, об этом в Госспецсвязи сообщали 5 и 29 мая текущего года.

Ранее же финансово мотивированная активность группы UAC-0006 фиксировалась еще с 2013 по июль 2021 года. Типичная задумка злоумышленников заключается в поражении компьютеров бухгалтеров, посредством которых осуществляется обеспечение финансовой деятельности, например, доступ к системам дистанционного банковского обслуживания; похищение аутентификационных данных (логина, пароля, ключа/сертификата) и создание несанкционированных платежей.

Напомним также, что недавно была зафиксирована кибератака с приманкой, замаскированной под статью известного украинского СМИ, а также мошенническую активность в отношении пользователей сервиса электронной почты Ukr.net.