В сети нашли фейковый сайт МИД Украины, ворующий данные с компьютера

Однако при переходе по ссылке на компьютер загружается файл Protector.bat, открытие которого приведет к загрузке и запуску PowerShell-скриптов, один из которых обеспечит рекурсивный поиск файлов с расширениями: .edb, .ems, .eme, .emz,. key, .pem, .ovpn, .bat, .cer, .p12, .cfg, .log, .txt, .pdf, .doc, .docx, .xls, .xlsx и .rdg в каталоге рабочего стола.

"Скрипт обеспечивает создание снимков экрана и последующую эксфильтрацию данных с помощью HTTP. При этом предусмотрено создание запланированных задач, предназначенных для обеспечения персистентности", - говорится в сообщении.

Более того, отмечается, что в сотрудничестве с польской CERT и командой по кибербезопасности Минобороны Польши (CSIRT) были обнаружены аналогичные фишинговые ресурсы, имитирующие официальные сайты Службы безопасности Украины и полиции Польши.

Указано, что в июне 2022 года подобная фишинговая веб-страница имитировала интерфейс почтового сервера Минобороны Украины. Упомянутая активность отслеживается по идентификатору UAC-0114 (также известна как Winter Vivern).

"Следует отметить, что тактики, техники и процедуры, используемые группой, достаточно типичны: однообразные PowerShell-скрипты, тема "сканеров вредоносных программ". Кроме того, вероятно, что в состав группы входят русскоязычные участники, ведь одна из используемых вредоносных программ APERETIF (MD5: 3acfb7c694b259158fe042fd3392b0d1) содержит довольно характерную строку (PDB): "C:\Users\user_1\source\repos\Aperitivchick\Release\SystemProtector.pdb", - отметили в CERT-UA.

Напомним, что в декабре организация сообщала о кибератаке на пользователей DELTA – национальной военной системой ситуационной осведомленности, которую используют Вооруженные силы Украины.

Источник фото: ua.depositphotos.com