«Киберпреступники вспомнили тему COVID-19». Госспецсвязи предупреждает о рассылке электронных писем с вредоносными программами
Правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA, действующая при Госспецсвязи, предупреждает о рассылке электронных писем с вложением, содержащим вредоносные программы. На этот раз киберпреступники «вспомнили» тему COVID-19.
Специалисты обращают внимание, что рассылка электронных писем осуществлена со скомпрометированной учетной записи сотрудника государственного органа Украины.
Так, письма, распространяемые злоумышленниками, содержат вложения в виде XLS-документа «Aid request COVID-19-04_5_22.xls», содержащего макрос. В случае активации макроса, последний осуществит декодирование пейлоада, находящегося в скрытом листе документа, а также создание на диске и запуск Go-загрузчика. После этого на компьютер загружаются и выполняются вредоносные программы GraphSteel (дата компиляции: 2022-04-21) и GrimPlant, а злоумышленники получают доступ к базовой информации о компьютере атакуемого.
Скриншот письма с вредоносным ПО, распространяемый злоумышленниками — в левом верхнем углу
Активность связывают с деятельностью группы UAC-0056. Эта же группа была причастна к нескольким кибератакам в марте. Тогда злоумышленники паразитировали по темам повышения уровня информационной безопасности среди украинцев и задолженности по зарплатам.
В Госспецсвязи призывают граждан быть бдительными и игнорировать сомнительные электронные письма.
Официальные рекомендации по обеспечению защиты собственных данных: Принять меры по настройке двухфакторной аутентификации для учетных записей электронной почты. Запретить офисные программы (EXCEL.EXE, WINWORD.EXE и т.д.) создавать опасные процессы (например, rundll32.exe, wscript.exe и другие).Накануне Госспецсвязи предупреждали, что российские хакеры все чаще
Читать на itc.ua
