Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, попереджає про розсилання електронних листів із вкладенням, яке містить шкідливі програми. Цього разу кіберзловмисники «згадали» тему COVID-19.
Фахівці звертають увагу, що розсилання електронних листів здійснено зі скомпрометованого облікового запису співробітника державного органу України.
Так, листі, які розповсюджують зловмисники, містять вкладення у вигляді XLS-документу “Aid request COVID-19-04_5_22.xls”, що містить макрос. У випадку активації макросу, останній здійснить декодування пейлоаду, що знаходиться в прихованому аркуші документу, а також створення на диску і запуск Go-завантажувача. Після цього на комп’ютер будуть завантажені та виконані шкідливі програми GraphSteel (дата компіляції: 2022-04-21) та GrimPlant, а кіберзловмисники дістануть доступ до базової інформації про комп’ютер атакованого.
Активність асоційовано з діяльністю групи UAC-0056. Ця ж група була причетна до кількох кібератак у березні. Тоді зловмисники паразитували на темах підвищення рівня інформаційної безпеки серед українців та заборгованості із зарплат.
У Держспецзв’язку закликають громадян бути пильним та ігнорувати сумнівні електронні листи.
Напередодні Держспецзв’язку застерігали, що російські хакери дедалі частіше атакують простих українців та відзначали зокрема збільшення кількості інформаційно-психологічних операцій в соцмережах та месенджерах. Водночас фішинг лишається улюбленим методом російських хакерів — у фішингових розсиланнях вони часто спекулюють на патріотичних темах і виплатах від держави. Власне, нещодавно Кіберполіція повідомляла про таку фішингову кампанію з розсилкою SMS-повідомлень про грошові виплати переселенцям. Тож, щоб не стати жертвою фішингу в мережі, Держспецзв’язку радить дотримуватися простих правил: