НБУ курс:

USD

41,29

+0,03

EUR

43,47

--0,10

Готівковий курс:

USD

41,60

41,55

EUR

44,05

43,81

Загрози для бухгалтерів зростають: У Держспецзв’язку фіксують активізацію кібератак з "платіжними інструкціями"

Фото: ua.depositphotos.com
Фото: ua.depositphotos.com

Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA) при Держслужбі спецзв’язку та захисту інформації 24 липня зафіксувала вже третю за останні десять днів кібератаку угрупування UAC-0006 з використанням листів на тему "рахунку / оплати" для запуску шкідливої програми SmokeLoader. Як ідеться у її повідомленні, попередня була лише 21 липня.

Відкрийте нові горизонти для вашого бізнесу: стратегії зростання від ПриватБанку, Atmosfera, ALVIVA GROUP, Bunny Academy та понад 90 лідерів галузі.
12 грудня на GET Business Festival дізнайтесь, як оптимізувати комунікації, впроваджувати ІТ-рішення та залучати інвестиції для зростання бізнесу.
Забронювати участь

Зазначається, що повідомлення, які приходять користувавам, містять вкладення у вигляді архівного файлу, доступний користувачеві вміст якого залежатиме від програми-архіватора, за допомогою якого цей архів буде відкрито.

Так, у разі застосування WinRAR згаданий файл-"поліглот" міститиме ZIP-архів з розширенням ".pdf", в якому знаходитимуться JavaScript-файли (атака від 21 липня) або ZIP-архів із розширенням ".docx" (24 липня).

Вказано, що останній містить виконуваний файл "Pax_ipn_18.07.2023p.jpg", JavaScript-завантажувач "2.Витяг з реeстру вiд 24.07.2023р_Код документа 9312-0580-6944-3255.xls.js" та SFX-архів "1.Платiжна iнструкцiя iпн та вытяг з реестру Код документа 9312-0580-6944-3255.exe" з файлом-приманкою "document_payment.docx" (копія "Платiжна iнструкцiя Приват_банк.docx") та BAT-скриптом "passport.bat", призначеним для запуску "Pax_ipn_18.07.2023p.jpg", що є копією завантажуваного "weboffice.exe".

Для масового розповсюдження електронних листів зловмисники використовують ботмережі (більше 1000 комп'ютерів). На думку фахівців, це свідчить про застосування для атаки вже скомпрометованих автентифікаційних даних, отриманих з уражених до цього комп'ютерів.

"Поновлена активність згаданого угрупування призведе до підвищення кількості випадків шахрайства з використанням систем дистанційного банківського обслуговування", - йдеться у повідомленні.

Керівників підприємств та безпосередньо бухгалтерів закликають убезпечити автоматизовані робочі місця, призначені для формування, підписання та відправки платежів, застосувавши відповідні програми, а також обмежити можливості запуску штатних утиліт (wscript.exe, cscript.exe, powershell.exe, mshta.exe) та фільтрувати вихідні інформаційні потоки.

Нагадаємо, що до цього повідомлялося про шкідливу розсилку угрупування UAC-0006, виявлену 13 липня. Подібні розсилки з вірусом SmokeLoader вона здійснювала вже неодноразово. Зокрема, про це у Держспецзв’язку повідомляли 5 та 29 травня поточного року.

Раніше фінансово мотивована активність групи UAC-0006 фіксувалася ще з 2013 року по липень 2021 року. Типовий зловмисний задум хакерів полягає в ураженні комп'ютерів бухгалтерів, за допомогою яких здійснюється забезпечення фінансової діяльності, наприклад, доступ до систем дистанційного банківського обслуговування; викраденні автентифікаційних даних (логін, пароль, ключ/сертифікат) та створенні несанкціонованих платежів.

Джерело фото: ua.depositphotos.com