Новини

Українцям на пошту розсилали листи з вірусом MarsStelaer — він здатний красти інформацію про комп’ютер, файли та робити знімки екрану

Українцям на пошту розсилали листи з вірусом MarsStelaer — він здатний красти інформацію про комп’ютер, файли та робити знімки екрану

Команді реагування на надзвичайні події України CERT-UA надійшла інформація про поширення електронних листів з темою «Нова програма для запису в журналі». Їх отримували як звичайні українці, так і українські організації. Текст електронного листа містив повідомлення Міністерства освіти і науки України про «електронні навчальні журнали», а також посилання на «програму» та пароль на архів.

«У разі відкриття архіву та запуску EXE-файлу, комп’ютер буде вражений шкідливою програмою, яка, за сукупністю ознак (попри деякі відмінності), класифікована як MarsStealer. MarsStelaer – шкідлива програма-стілер, розроблена з використанням мов програмування C/ASM. Основний функціонал — збір інформації про комп’ютер, викрадення аутентифікаційних даних з інтернет-браузерів, плагінів крипто-гаманців, програм багатофакторної аутентифікації, викрадення файлів, а також завантаження та запуск файлів, що виконуються, та виготовлення знімка екрана», — сказано в офіційній публікації.

Вірус MarsStelaer продається на тематичних форумах. За даними CERT-UA, після призупинення продажів стиллера Racoon, він виступає як альтернатива.

«Зауважимо, що заявлений функціонал, який передбачає уникнення випадків застосування стілера щодо «країн СНД», відключено шляхом патчингу викликів відповідних функцій. Виявлена ​​активність відслідковується за ідентифікатором UAC-0041 як діяльність однієї з груп, яка має на меті викрадення автентифікації користувачів», — додали українські фахівці.

Раніше команда CERT-UA повідомила про розсилку на пошту українським держорганам листів з темою «Заборгованість із зарплати» та прикріпленою таблицею «Заборгованість із зарплати.xls». Як вкладення були додані кодовані дані, які після активації декодував макрос і створював EXE-файл “Base-Update.exe” на комп’ютері жертви і запускав його. Потім цей файл завантажував і запускав інший завантажувач, а той уже забезпечував наступні завантаження і запуск на комп’ютері відразу двох шкідливих програм: GraphSteel і GrimPlant.


Завантаження коментарів...

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: