НБУ курс:

USD

41,37

+0,09

EUR

43,63

--0,02

Наличный курс:

USD

41,69

41,63

EUR

44,19

44,00

В Госспецсвязи нашли фейковый сайт "Всемирного конгресса украинцев" с вредоносным файлом по саммиту НАТО

хакер
Фото: ua.depositphotos.com

Правительственная команда реагирования на компьютерные чрезвычайные происшествия Украины (CERT-UA) при Госслужбе спецсвязи и защиты информации обнаружила вредоносный сайт, копирующий английскую версию веб-ресурса международной неправительственной организации "Всемирный конгресс украинцев". Как говорится в сообщении структуры, фальшивый сайт имеет адрес worldcongress.info, в то время как настоящий - worldcongress.org.

Відкрийте нові горизонти для вашого бізнесу: стратегії зростання від ПриватБанку, Atmosfera, ALVIVA GROUP, Bunny Academy та понад 90 лідерів галузі.
12 грудня на GET Business Festival дізнайтесь, як оптимізувати комунікації, впроваджувати ІТ-рішення та залучати інвестиції для зростання бізнесу.
Забронировать участие

На первом веб-ресурсе размещены два DOCX-документа - "Overview_of_UWCs_UkraineInNATO_campaign.docx" и "Letter_NATO_Summit_Vilnius_2023_ENG(1).docx", каждый из которых содержит в своей структуре RTF-документ "afchunk.rtf" путь.

"Открытие этих документов и успешная эксплуатация соответствующих уязвимостей инициирует цепь поражения, которая, среди прочего, предусматривает взаимодействие с инфраструктурой хакеров с использованием SMB и HTTP, загрузку и запуск CHM-файла, содержащего HTM- и MHT- (Web Archive) файлы, загрузку и запуск URL- (InternetShortcut) файла, загрузку и запуск VBS-файла", – говорится в сообщении.

При этом упомянутый VBScript-файл обеспечивает возможность запуска EXE, DLL, PS1, CPL файлов, размещенных на SMB-ресурсе. Отмечается, что на момент исследования CERT-UA получила и исследовала файлы "testdll.dll", "testdll64.cpl" и "calc.exe".

Первые два признаков вредоносного программного обеспечения не содержат, однако "calc.exe" классифицирован как вредоносная программа (лоадер) MagicSpell, назначением которой является загрузка, дешифрование, обеспечение персистентности и запуск другого исполняемого файла.

Анализ содержимого SMB-ресурса позволил установить 195 IP-адресов, использовавшихся компьютерами, с которых осуществлялось взаимодействие с описанной инфраструктурой. Однако анализ IP-адресов свидетельствует об их географической распределенности (около 30 разных стран) и принадлежности большинства из них к VPN-сервисам, исследовательским организациям и так далее. Указанная активность отслеживается по идентификатору UAC-0168.

"Использование имени общественной организации "Всемирный конгресс украинцев", а также тематики членства Украины в Организации Североатлантического договора как приманки может свидетельствовать о том, что описанная кибератака имеет отношение к саммиту НАТО, который пройдет 11-12 июля 2023 года в Вильнюсе (Литовская Республика) ", – добавляют в CERT-UA.

Напомним также, что недавно там зафиксировали кибератаку с приманкой, замаскированной под статью известного украинского СМИ, а также мошенническую активность в отношении пользователей сервиса электронной почты Ukr.net.