Злоумышленники продолжают использовать массово волнующие украинцев проблемы для распространения вредоносного программного обеспечения. Специалисты CERT-UA зафиксировали массовую рассылку электронных писем, спекулирующих на тематике «Киевстара» и СБУ.
Так, на электронные ящики украинцев начать поступать письма о «Задолженности по договору Киевстар». Они имеют вложения в виде архива «Задолженность абонента.zip», в котором находится одноименный архив, защищенный паролем. В последнем находится документ с макросом «Задолженность абонента.doc». При активации код макроса произведет загрузку и запуск файла GB.exe. Это SFX-архив, содержащий BATCH-скрипт для загрузки и запуска исполняемого файла wsuscr.exe, предназначенного для запуска программы для удаленного управления RemcosRAT.
Вместе с тем, CERT-UA зафиксировали распространение писем с темой «Запрос СБУ» и вложением в виде архива «Документы.zip». Он содержит защищенный паролем RAR-архив «Запрос.rar» с исполняемым файлом «Запрос.exe». Открытие архива и запуск файла приводят к заражению системы программой удаленного доступа RemcosRAT.
Специалисты CERT-UA отмечают, что помимо типичного для UAC-0050 размещение серверов управления RemcosRAT на технической площадке малайзийского хостинг-провайдера Shinjiru, они также размещены в пределах автономной системы AS44477.
Специалисты CERT-UA рекомендуют фильтровать на уровне почтовых шлюзов электронные письма с защищенными паролями вложениями (как архивы, так и документы).