Правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA, действующая при Госспецсвязи, предупреждает о рассылке электронных писем с вложением, содержащим вредоносные программы. На этот раз киберпреступники «вспомнили» тему COVID-19.
Специалисты обращают внимание, что рассылка электронных писем осуществлена со скомпрометированной учетной записи сотрудника государственного органа Украины.
Так, письма, распространяемые злоумышленниками, содержат вложения в виде XLS-документа «Aid request COVID-19-04_5_22.xls», содержащего макрос. В случае активации макроса, последний осуществит декодирование пейлоада, находящегося в скрытом листе документа, а также создание на диске и запуск Go-загрузчика. После этого на компьютер загружаются и выполняются вредоносные программы GraphSteel (дата компиляции: 2022-04-21) и GrimPlant, а злоумышленники получают доступ к базовой информации о компьютере атакуемого.
Активность связывают с деятельностью группы UAC-0056. Эта же группа была причастна к нескольким кибератакам в марте. Тогда злоумышленники паразитировали по темам повышения уровня информационной безопасности среди украинцев и задолженности по зарплатам.
В Госспецсвязи призывают граждан быть бдительными и игнорировать сомнительные электронные письма.
Официальные рекомендации по обеспечению защиты собственных данных:
- Принять меры по настройке двухфакторной аутентификации для учетных записей электронной почты.
- Запретить офисные программы (EXCEL.EXE, WINWORD.EXE и т.д.) создавать опасные процессы (например, rundll32.exe, wscript.exe и другие).
Накануне Госспецсвязи предупреждали, что российские хакеры все чаще атакуют простых украинцев и отмечали, в частности, увеличение количества информационно-психологических операций в соцсетях и мессенджерах. В то же время, фишинг остается любимым методом российских хакеров — в фишинговых рассылках они часто спекулируют на патриотических темах и выплатах от государства. Собственно, недавно Киберполиция сообщала о такой фишинговой кампании с рассылкой SMS-сообщений о денежных выплатах переселенцам. Чтобы не стать жертвой фишинга в сети, Госспецсвязи советует соблюдать простые правила:
- Не открывать письма от неизвестных адресатов.
- Не переходить по ссылкам из таких писем и не вводить на страницы со ссылками свои персональные данные.
- Включить двухфакторную авторизацию в соцсетях и всех сервисах, поддерживающих такую услугу.