У мережі знайшли фейковий сайт МЗС України, який краде дані з комп'ютеру

Однак у разі переходу за посиланням на комп'ютер завантажується файл Protector.bat, відкриття якого призведе до завантаження та запуску PowerShell-скриптів, один з яких забезпечить рекурсивний пошук файлів з розширеннями: .edb, .ems, .eme, .emz, .key, .pem, .ovpn, .bat, .cer, .p12, .cfg, .log, .txt, .pdf, .doc, .docx, .xls, .xlsx та .rdg в каталозі робочого столу.

"Скрипт забезпечує створення знімків екрану та подальшу ексфільтрацію даних за допомогою HTTP. При цьому, передбачено створення запланованих завдань, призначених для забезпечення персистентності", - йдеться у повідомленні.

Більш того, зазначається, що у співпраці з польською CERT та командою з кібербезпеки Міноборони Польщі (CSIRT) було виявлено аналогічні фішингові ресурси, що імітують офіційні сайти Служби безпеки України та поліції Польщі.

Вказано, що в червні 2022 року подібна фішінгова веб-сторінка імітувала інтерфейс поштового серверу Міноборони України. Згадана активність відстежується за ідентифікатором UAC-0114 (також відома як Winter Vivern).

"Слід зауважити, що тактики, техніки та процедури, що використовуються групою, є доволі типовими: одноманітні PowerShell-скрипти, тема "сканерів шкідливих програм". Крім того, високоймовірно, що до складу групи входять російськомовні учасники, адже одна з використовуваних шкідливих програм APERETIF (MD5: 3acfb7c694b259158fe042fd3392b0d1) містить доволі характерний рядок (PDB): "C:\Users\user_1\source\repos\Aperitivchick\Release\SystemProtector.pdb", - зазначили у CERT-UA.

Нагадаємо, що в грудні організація повідомляла про кібератаку на користувачів DELTA - національної військової системою ситуаційної обізнаності, яку використовують Збройні сили України.

Джерело фото: ua.depositphotos.com