Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, попереджає про розсилання електронних листів із вкладенням, яке містить шкідливі програми. Цього разу кіберзловмисники «згадали» тему COVID-19.

Фахівці звертають увагу, що розсилання електронних листів здійснено зі скомпрометованого облікового запису співробітника державного органу України.

Так, листі, які розповсюджують зловмисники, містять вкладення у вигляді XLS-документу “Aid request COVID-19-04_5_22.xls”, що містить макрос. У випадку активації макросу, останній здійснить декодування пейлоаду, що знаходиться в прихованому аркуші документу, а також створення на диску і запуск Go-завантажувача. Після цього на комп’ютер будуть завантажені та виконані шкідливі програми GraphSteel (дата компіляції: 2022-04-21) та GrimPlant, а кіберзловмисники дістануть доступ до базової інформації про комп’ютер атакованого.

Активність асоційовано з діяльністю групи UAC-0056. Ця ж група була причетна до кількох кібератак у березні. Тоді зловмисники паразитували на темах підвищення рівня інформаційної безпеки серед українців та заборгованості із зарплат.

У Держспецзв’язку закликають громадян бути пильним та ігнорувати сумнівні електронні листи.

Офіційні рекомендації для забезпечення захисту власних даних:

• Вжити заходів з налаштування двофакторної автентифікації для облікових записів електронної пошти.
• Заборонити офісним програмам (EXCEL.EXE, WINWORD.EXE тощо) створювати небезпечні процеси (наприклад, rundll32.exe, wscript.exe та інші).

Напередодні Держспецзв’язку застерігали, що російські хакери дедалі частіше атакують простих українців та відзначали зокрема збільшення кількості інформаційно-психологічних операцій в соцмережах та месенджерах. Водночас фішинг лишається улюбленим методом російських хакерів — у фішингових розсиланнях вони часто спекулюють на патріотичних темах і виплатах від держави. Власне, нещодавно Кіберполіція повідомляла про таку фішингову кампанію з розсилкою SMS-повідомлень про грошові виплати переселенцям. Тож, щоб не стати жертвою фішингу в мережі, Держспецзв’язку радить дотримуватися простих правил:

• Не відкривайте листів від невідомих адресатів.
• Не переходьте за посиланнями з таких листів та не вводьте на сторінках із посиланнями своїх персональних даних.
• Увімкніть двофакторну авторизацію в соцмережах і всіх сервісах, які підтримують таку послугу.

Кіберполіція попереджає про шахраїв, які розповсюджують фішингові SMS про грошові виплати переселенцям