НБУ курс:

USD

41,25

--0,08

EUR

43,56

--0,13

Наличный курс:

USD

41,65

41,58

EUR

44,12

43,95

В сети нашли фейковый сайт МИД Украины, ворующий данные с компьютера

В сети нашли фейковый сайт МИД Украины, ворующий данные с компьютера
Фото: Depositphotos

Правительственная команда реагирования на чрезвычайные события Украины (CERT-UA), действующая при Госслужбе специальной связи и защиты информации, сообщает об обнаружении фишинговой веб-страницы, имитирующей официальный веб-ресурс Министерства иностранных дел Украины. На сайте предлагается скачать программное обеспечение для "обнаружения зараженных компьютеров".

Відкрийте нові горизонти для вашого бізнесу: стратегії зростання від ПриватБанку, Atmosfera, ALVIVA GROUP, Bunny Academy та понад 90 лідерів галузі.
12 грудня на GET Business Festival дізнайтесь, як оптимізувати комунікації, впроваджувати ІТ-рішення та залучати інвестиції для зростання бізнесу.
Забронировать участие

Однако при переходе по ссылке на компьютер загружается файл Protector.bat, открытие которого приведет к загрузке и запуску PowerShell-скриптов, один из которых обеспечит рекурсивный поиск файлов с расширениями: .edb, .ems, .eme, .emz,. key, .pem, .ovpn, .bat, .cer, .p12, .cfg, .log, .txt, .pdf, .doc, .docx, .xls, .xlsx и .rdg в каталоге рабочего стола.

"Скрипт обеспечивает создание снимков экрана и последующую эксфильтрацию данных с помощью HTTP. При этом предусмотрено создание запланированных задач, предназначенных для обеспечения персистентности", - говорится в сообщении.

Более того, отмечается, что в сотрудничестве с польской CERT и командой по кибербезопасности Минобороны Польши (CSIRT) были обнаружены аналогичные фишинговые ресурсы, имитирующие официальные сайты Службы безопасности Украины и полиции Польши.

Указано, что в июне 2022 года подобная фишинговая веб-страница имитировала интерфейс почтового сервера Минобороны Украины. Упомянутая активность отслеживается по идентификатору UAC-0114 (также известна как Winter Vivern).

"Следует отметить, что тактики, техники и процедуры, используемые группой, достаточно типичны: однообразные PowerShell-скрипты, тема "сканеров вредоносных программ". Кроме того, вероятно, что в состав группы входят русскоязычные участники, ведь одна из используемых вредоносных программ APERETIF (MD5: 3acfb7c694b259158fe042fd3392b0d1) содержит довольно характерную строку (PDB): "C:\Users\user_1\source\repos\Aperitivchick\Release\SystemProtector.pdb", - отметили в CERT-UA.

Напомним, что в декабре организация сообщала о кибератаке на пользователей DELTA – национальной военной системой ситуационной осведомленности, которую используют Вооруженные силы Украины.

Источник фото: ua.depositphotos.com