Українцям під виглядом листа від Міносвіти масово розсилають вірус, що краде файли та дані аутентифікації

Фото: Depositphotos
Фото: Depositphotos

Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA) повідомляє про масове поширення серед громадян України та вітчизняних організацій шкідливої програми Mars Stealer через електронні листи з темою "Нова програма для запису в журналі".

Забезпечте стрімке зростання та масштабування компанії у 2024-му! Отримайте алгоритм дій на Business Wisdom Summit.
10 квітня управлінці Арсенал Страхування, Uklon, TERWIN, Епіцентр та інших великих компаній поділяться перевіреними бізнес-рішеннями, які сприяють розвитку бізнесу під час війни.
Забронювати участь

Зазначається, що текст такого листа містить повідомлення нібито від Міністерства освіти і науки України щодо "електронних навчальних журналів", а також посилання на "програму" та пароль до архіву.

Однак у разі відкриття архіву та запуску exe-файлу комп'ютер уражається шкідливою програмою, яка за сукупністю ознак (хоча і з деякими відмінностями) класифікована як ідентична програмі Mars Stealer.

Як вказують у CERT-UA, Mars Stealer, розроблена з використанням мов програмування C/ASM, збирає інформацію про комп'ютер та викрадає аутентифікаційні дані з інтернет-браузерів, плагінів криптогаманців, програм багатофакторної аутентифікації, викрадає файли, а також завантажує та запускає exe-файли і робить скріншоти того, що відображається на екрані.

"Шкідлива програма продається на тематичних форумах. Вірогідно, після призупинки продажів стілера Racoon, використовуватиметься як альтернатива. Зауважимо, що заявлений функціонал, який передбачає уникнення випадків застосування стілера у відношенні "країн СНД", відключено шляхом патчингу викликів відповідних функцій", — йдеться у повідомленні.

Виявлена активність відстежується за ідентифікатором UAC-0041 як діяльність однієї з груп, що мають на меті викрадення аутентифікаційних даних користувачів.

Нагадаємо також, що напередодні в CERT-UA повідомили про розсилку електронних листів із темою "Заборгованість із зарплати.xls", що містять макрос, який завантажує на комп'ютер дві шкідливі програми.

Джерело фото: ua.depositphotos.com