НБУ курс:

USD

41,29

+0,03

EUR

43,47

--0,10

Наличный курс:

USD

41,65

41,58

EUR

43,85

43,55

Угрозы для бухгалтеров растут: В Госспецсвязи фиксируют активизацию кибератак с "платежными инструкциями"

Фото: ua.depositphotos.com
Фото: ua.depositphotos.com

Правительственная команда реагирования на компьютерные чрезвычайные события Украины (CERT-UA) при Госслужбе спецсвязи и защиты информации 24 июля зафиксировала уже третью за последние десять дней кибератаку группировки UAC-0006 с использованием писем по теме "счета/оплаты" для запуска вредоносной программы SmokeLoader. Как говорится в ее сообщении, предыдущая была лишь 21 июля.

Відкрийте нові горизонти для вашого бізнесу: стратегії зростання від ПриватБанку, Atmosfera, ALVIVA GROUP, Bunny Academy та понад 90 лідерів галузі.
12 грудня на GET Business Festival дізнайтесь, як оптимізувати комунікації, впроваджувати ІТ-рішення та залучати інвестиції для зростання бізнесу.
Забронировать участие

Отмечается, что приходящие пользователям сообщения содержат вложение в виде архивного файла, доступное пользователю содержимое которого будет зависеть от программы-архиватора, с помощью которого этот архив будет открыт.

Так, в случае применения WinRAR упомянутый файл-"полиглот" будет содержать ZIP-архив с расширением ".pdf", в котором будут находиться JavaScript-файлы (атака от 21 июля) или ZIP-архив с расширением ".docx" (24 июля).

Указано, что последний содержит исполняемый файл "Pax_ipn_18.07.2023p.jpg", JavaScript-загрузчик "2.Витяг з реeстру вiд 24.07.2023р_Код документа 9312-0580-6944-3255.xls.js" и SFX-архив "1.Платiжна iнструкцiя iпн та вытяг з реестру Код документа 9312-0580-6944-3255.exe" с файлом-приманкой "document_payment.docx" (копия "Платiжна iнструкцiя Приват_банк.docx") и BAT-скриптом "passport.bat", предназначенным для запуска "Pax_ipn_18.07.2023p.jpg", являющегося копией "weboffice.exe".

Для массового распространения электронных писем злоумышленники используют ботсети (более 1000 компьютеров). По мнению специалистов, это свидетельствует о применении для атаки уже скомпрометированных аутентификационных данных, полученных с пораженных ранее компьютеров.

"Возобновленная активность данной группировки приведет к повышению количества случаев мошенничества с использованием систем дистанционного банковского обслуживания", - говорится в сообщении.

Руководителей предприятий и непосредственно бухгалтеров призывают обезопасить автоматизированные рабочие места, предназначенные для формирования, подписания и отправки платежей, применив соответствующие программы, а также ограничить возможности запуска штатных утилит (wscript.exe, cscript.exe, powershell.exe, mshta.exe) и фильтровать исходные информационные потоки.

Напомним, что ранее сообщалось о вредоносной рассылке группировки UAC-0006, выявленной 13 июля. Подобные рассылки с вирусом SmokeLoader она производила уже неоднократно. В частности, об этом в Госспецсвязи сообщали 5 и 29 мая текущего года.

Ранее финансово мотивированная активность группы UAC-0006 фиксировалась еще с 2013 по июль 2021 года. Типичная задумка хакеров заключается в поражении компьютеров бухгалтеров, с помощью которых осуществляется обеспечение финансовой деятельности, например доступ к системам дистанционного банковского обслуживания; похищении аутентификационных данных (логин, пароль, ключ/сертификат) и создании несанкционированных платежей.

Источник фото: ua.depositphotos.com