- Категорія
- ІТ та Телеком
- Дата публікації
- Змінити мову
- Читать на русском
Нова кібератака на бухгалтерів: хакери розсилають вірус під виглядом "рахунку-фактури"
Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA) при Держслужбі спецзв’язку та захисту інформації 13 липня зафіксувала масову розсилку електронних повідомлень з темою "Рахунок-фактура" зі шкідливим вмістом.
Як ідеться у її повідомленні, в таких листах міститься вкладення у вигляді файлу "Акт_Звiрки_та_рах.факт_вiд_12_07_2023.zip", що містить VBS-файл "рахунок_вiд_12_07_2023_до_оплати.vbs". Відкриття останнього забезпечить завантаження і запуск шкідливої програми SmokeLoader.
"Цього разу конфігураційний файл шкідливої програми містить 45 доменних імен, з яких лише 5 на момент аналізу мають A-запис (IP-адреса: 193.106.174[.]173; провайдер @iqhost[.]ru, Росія). Слід звернути увагу на той факт, що, з метою забезпечення живучості, функціонал SmokeLoader'у передбачає можливість визначення актуальних A-записів для доменних імен шляхом зверення до DNS-серверів сервісу @dnspod[.]com", - повідомляють у CERT-UA.
Там зазначають, що вкотре для розповсюдження листів використано скомпрометовані облікові записи електронної пошти. У Держспецзв’язку також наголошують на доцільності обмеження можливості використання користувачами Windows Script Host (wscript.exe, cscript.exe), а також PowerShell.
За даними CERT-UA, зазначена атака здійснена групою, якій присвоєно ідентифікатор UAC-0006. Подібні розсилки з вірусом SmokeLoader вона здійснювала вже неодноразово. Зокрема, про це у Держспецзв’язку повідомляли 5 та 29 травня поточного року.
Раніше фінансово мотивована активність групи UAC-0006 фіксувалася ще з 2013 року по липень 2021 року. Типовий зловмисний задум полягає в ураженні комп'ютерів бухгалтерів, за допомогою яких здійснюється забезпечення фінансової діяльності, наприклад, доступ до систем дистанційного банківського обслуговування; викраденні автентифікаційних даних (логін, пароль, ключ/сертифікат) та створенні несанкціонованих платежів.
Нагадаємо також, що нещодавно було зафіксувано кібератаку з "приманкою", замаскованою під статтю відомого українського ЗМІ, а також шахрайську активність щодо користувачів сервісу електронної пошти Ukr.net.