- Категорія
- ІТ та Телеком
- Дата публікації
- Змінити мову
- Читать на русском
У мережі знайшли фейковий сайт МЗС України, який краде дані з комп'ютеру
Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA), що діє при Держслужбі спеціального зв'язку та захисту інформації, повідомляє про виявлення фішингової веб-сторінки, що імітує офіційний веб-ресурс Міністерства закордонних справ України. На сайті пропонується завантажити програмне забезпечення для "виявлення заражених комп'ютерів".
Однак у разі переходу за посиланням на комп'ютер завантажується файл Protector.bat, відкриття якого призведе до завантаження та запуску PowerShell-скриптів, один з яких забезпечить рекурсивний пошук файлів з розширеннями: .edb, .ems, .eme, .emz, .key, .pem, .ovpn, .bat, .cer, .p12, .cfg, .log, .txt, .pdf, .doc, .docx, .xls, .xlsx та .rdg в каталозі робочого столу.
"Скрипт забезпечує створення знімків екрану та подальшу ексфільтрацію даних за допомогою HTTP. При цьому, передбачено створення запланованих завдань, призначених для забезпечення персистентності", - йдеться у повідомленні.
Більш того, зазначається, що у співпраці з польською CERT та командою з кібербезпеки Міноборони Польщі (CSIRT) було виявлено аналогічні фішингові ресурси, що імітують офіційні сайти Служби безпеки України та поліції Польщі.
Підписуйтеся на YouTube-канал delo.uaВказано, що в червні 2022 року подібна фішінгова веб-сторінка імітувала інтерфейс поштового серверу Міноборони України. Згадана активність відстежується за ідентифікатором UAC-0114 (також відома як Winter Vivern).
"Слід зауважити, що тактики, техніки та процедури, що використовуються групою, є доволі типовими: одноманітні PowerShell-скрипти, тема "сканерів шкідливих програм". Крім того, високоймовірно, що до складу групи входять російськомовні учасники, адже одна з використовуваних шкідливих програм APERETIF (MD5: 3acfb7c694b259158fe042fd3392b0d1) містить доволі характерний рядок (PDB): "C:\Users\user_1\source\repos\Aperitivchick\Release\SystemProtector.pdb", - зазначили у CERT-UA.
Нагадаємо, що в грудні організація повідомляла про кібератаку на користувачів DELTA - національної військової системою ситуаційної обізнаності, яку використовують Збройні сили України.
Джерело фото: ua.depositphotos.com