НБУ курс:

USD

41,29

+0,03

EUR

43,47

--0,10

Готівковий курс:

USD

41,60

41,55

EUR

44,05

43,81

У Держспецзв’язку попередили про фейковий сайт "Світового конґресу українців" зі шкідливим файлом щодо саміту НАТО

хакер
Фото: ua.depositphotos.com

Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA) при Держслужбі спецзв’язку та захисту інформації виявила шкідливий сайт, що копіює англійську версію вебресурсу міжнародної неурядової організації "Світовий конґрес українців". Як ідеться в повідомленні структури, фальшивий сайт має адресу ukrainianworldcongress.info, хоча справжній - ukrainianworldcongress.org.

Відкрийте нові горизонти для вашого бізнесу: стратегії зростання від ПриватБанку, Atmosfera, ALVIVA GROUP, Bunny Academy та понад 90 лідерів галузі.
12 грудня на GET Business Festival дізнайтесь, як оптимізувати комунікації, впроваджувати ІТ-рішення та залучати інвестиції для зростання бізнесу.
Забронювати участь

На першому вебресурсі розміщено два DOCX-документи - "Overview_of_UWCs_UkraineInNATO_campaign.docx" та "Letter_NATO_Summit_Vilnius_2023_ENG(1).docx", кожен з яких містить у своїй структурі RTF-документ "afchunk.rtf", в якому знаходяться шкідливі URL-адреса та UNC-шлях.

"Відкриття цих документів та успішна експлуатація відповідних вразливостей ініціює ланцюг ураження, який, серед іншого, передбачає взаємодію з інфраструктурою хакерів з використанням SMB та HTTP, завантаження і запуск CHM-файлу, який містить HTM- та MHT- (Web Archive) файли, завантаження і запуск URL- (InternetShortcut) файлу, завантаження і запуск VBS-файлу", - йдеться в повідомленні.

При цьому, згаданий VBScript-файл забезпечує можливість запуску EXE, DLL, PS1, CPL файлів, що розміщено на SMB-ресурсі. Зазначається, що на момент дослідження CERT-UA отримала й дослідила файли "testdll.dll", "testdll64.cpl" та "calc.exe".

Перші два ознак шкідливого програмного забезпечення не містять, однак "calc.exe" класифіковано як шкідливу програму (лоадер) MagicSpell, призначенням якого є завантаження, дешифрування, забезпечення персистентності та запуск іншого виконуваного файлу.

Аналіз вмісту SMB-ресурсу дозволив встановити 195 IP-адрес, що використовувалися комп'ютерами, з яких здійснювалася взаємодія з описаною інфраструктурою. Проте аналіз IP-адрес свідчить про їх географічну розподіленість (близько 30 різних країн) та приналежність більшості з них до VPN-сервісів, дослідницьких організацій тощо. Зазначена активність відстежується за ідентифікатором UAC-0168.

"Використання імені громадської організації "Світовий конґрес українців", а також тематики членства України в Організації Північноатлантичного договору як приманки може свідчити про те, що описана кібератака має відношення до саміту НАТО, що проходитиме 11-12 липня 2023 року у Вільнюсі (Литовська Республіка)", - додають у CERT-UA.

Нагадаємо також, що нещодавно там зафіксували кібератаку з "приманкою", замаскованою під статтю відомого українського ЗМІ, а також шахрайську активність щодо користувачів сервісу електронної пошти Ukr.net.