- Категорія
- ІТ та Телеком
- Дата публікації
- Змінити мову
- Читать на русском
Загрози для бухгалтерів зростають: У Держспецзв’язку фіксують активізацію кібератак з "платіжними інструкціями"
Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA) при Держслужбі спецзв’язку та захисту інформації 24 липня зафіксувала вже третю за останні десять днів кібератаку угрупування UAC-0006 з використанням листів на тему "рахунку / оплати" для запуску шкідливої програми SmokeLoader. Як ідеться у її повідомленні, попередня була лише 21 липня.
Зазначається, що повідомлення, які приходять користувавам, містять вкладення у вигляді архівного файлу, доступний користувачеві вміст якого залежатиме від програми-архіватора, за допомогою якого цей архів буде відкрито.
Так, у разі застосування WinRAR згаданий файл-"поліглот" міститиме ZIP-архів з розширенням ".pdf", в якому знаходитимуться JavaScript-файли (атака від 21 липня) або ZIP-архів із розширенням ".docx" (24 липня).
Вказано, що останній містить виконуваний файл "Pax_ipn_18.07.2023p.jpg", JavaScript-завантажувач "2.Витяг з реeстру вiд 24.07.2023р_Код документа 9312-0580-6944-3255.xls.js" та SFX-архів "1.Платiжна iнструкцiя iпн та вытяг з реестру Код документа 9312-0580-6944-3255.exe" з файлом-приманкою "document_payment.docx" (копія "Платiжна iнструкцiя Приват_банк.docx") та BAT-скриптом "passport.bat", призначеним для запуску "Pax_ipn_18.07.2023p.jpg", що є копією завантажуваного "weboffice.exe".
Для масового розповсюдження електронних листів зловмисники використовують ботмережі (більше 1000 комп'ютерів). На думку фахівців, це свідчить про застосування для атаки вже скомпрометованих автентифікаційних даних, отриманих з уражених до цього комп'ютерів.
"Поновлена активність згаданого угрупування призведе до підвищення кількості випадків шахрайства з використанням систем дистанційного банківського обслуговування", - йдеться у повідомленні.
Керівників підприємств та безпосередньо бухгалтерів закликають убезпечити автоматизовані робочі місця, призначені для формування, підписання та відправки платежів, застосувавши відповідні програми, а також обмежити можливості запуску штатних утиліт (wscript.exe, cscript.exe, powershell.exe, mshta.exe) та фільтрувати вихідні інформаційні потоки.
Нагадаємо, що до цього повідомлялося про шкідливу розсилку угрупування UAC-0006, виявлену 13 липня. Подібні розсилки з вірусом SmokeLoader вона здійснювала вже неодноразово. Зокрема, про це у Держспецзв’язку повідомляли 5 та 29 травня поточного року.
Раніше фінансово мотивована активність групи UAC-0006 фіксувалася ще з 2013 року по липень 2021 року. Типовий зловмисний задум хакерів полягає в ураженні комп'ютерів бухгалтерів, за допомогою яких здійснюється забезпечення фінансової діяльності, наприклад, доступ до систем дистанційного банківського обслуговування; викраденні автентифікаційних даних (логін, пароль, ключ/сертифікат) та створенні несанкціонованих платежів.
Джерело фото: ua.depositphotos.com