НБУ курс:

USD

41,25

--0,08

EUR

43,56

--0,13

Готівковий курс:

USD

41,65

41,58

EUR

44,12

43,95

У мережі знайшли фейковий сайт МЗС України, який краде дані з комп'ютеру

У мережі знайшли фейковий сайт МЗС України, який краде дані з комп'ютеру
Фото: Depositphotos

Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA), що діє при Держслужбі спеціального зв'язку та захисту інформації, повідомляє про виявлення фішингової веб-сторінки, що імітує офіційний веб-ресурс Міністерства закордонних справ України. На сайті пропонується завантажити програмне забезпечення для "виявлення заражених комп'ютерів".

Відкрийте нові горизонти для вашого бізнесу: стратегії зростання від ПриватБанку, Atmosfera, ALVIVA GROUP, Bunny Academy та понад 90 лідерів галузі.
12 грудня на GET Business Festival дізнайтесь, як оптимізувати комунікації, впроваджувати ІТ-рішення та залучати інвестиції для зростання бізнесу.
Забронювати участь

Однак у разі переходу за посиланням на комп'ютер завантажується файл Protector.bat, відкриття якого призведе до завантаження та запуску PowerShell-скриптів, один з яких забезпечить рекурсивний пошук файлів з розширеннями: .edb, .ems, .eme, .emz, .key, .pem, .ovpn, .bat, .cer, .p12, .cfg, .log, .txt, .pdf, .doc, .docx, .xls, .xlsx та .rdg в каталозі робочого столу.

"Скрипт забезпечує створення знімків екрану та подальшу ексфільтрацію даних за допомогою HTTP. При цьому, передбачено створення запланованих завдань, призначених для забезпечення персистентності", - йдеться у повідомленні.

Більш того, зазначається, що у співпраці з польською CERT та командою з кібербезпеки Міноборони Польщі (CSIRT) було виявлено аналогічні фішингові ресурси, що імітують офіційні сайти Служби безпеки України та поліції Польщі.

Вказано, що в червні 2022 року подібна фішінгова веб-сторінка імітувала інтерфейс поштового серверу Міноборони України. Згадана активність відстежується за ідентифікатором UAC-0114 (також відома як Winter Vivern).

"Слід зауважити, що тактики, техніки та процедури, що використовуються групою, є доволі типовими: одноманітні PowerShell-скрипти, тема "сканерів шкідливих програм". Крім того, високоймовірно, що до складу групи входять російськомовні учасники, адже одна з використовуваних шкідливих програм APERETIF (MD5: 3acfb7c694b259158fe042fd3392b0d1) містить доволі характерний рядок (PDB): "C:\Users\user_1\source\repos\Aperitivchick\Release\SystemProtector.pdb", - зазначили у CERT-UA.

Нагадаємо, що в грудні організація повідомляла про кібератаку на користувачів DELTA - національної військової системою ситуаційної обізнаності, яку використовують Збройні сили України.

Джерело фото: ua.depositphotos.com