Хакеры атаковали госструктуры Украины: под угрозой банковские данные граждан
Вредоносный файл замаскировали под документ Microsoft Excel с "мобилизационным реестром", в котором скрыт вредоносный алгоритм.
Правительственная команда реагирования на чрезвычайные компьютерные происшествия (CERT-UA) зафиксировала кибератаку на государственные организации Украины. Подробности специалисты раскрыли на официальном сайте.
Они обнаружили, что среди граждан Украины массово распространяют XLS-документы (формат таблиц программы Microsoft Excel) под названием "Мобилизационный реестр". При открытии файла активируется макрос, заготовленный программный алгоритм действий, запускающий процесс взлома, который в итоге приводит к похищению данных пользователя для аутентификации в банковских сервисах.
На компьютер жертвы скачивается исполняемый файл (EXE), который при запуске дешифрует и активирует программу GzipLoader, которая в свою очередь загружает и запускает "вирус" IcedID, также известный под названием BankBot. Последний относится к классу "банковских троянов" — программ, которые маскируются под легальное ПО, среди прочего, он обеспечивает похищение аутентификационных данныж.
"С умеренным уровнем уверенности выявленную активность ассоциируем с деятельностью группы UAC-0041", — отметила CERT-UA.
Ранее CERT-UA предупреждала о другой атаке на государственные органы Украины, тогда хакеры спрятали вредоносные программы GraphSteel и GrimPlant в файлы с информацией о задолженностях по зарплатах. После запуска "вирусы" объединяют усилия, чтобы собрать данные о компьютере и передать их злоумышленникам.
Недавно стало известно, что 8 апреля российские военные хакеры хотели отключить электроэнергию в Украине. Для этого они внедрились в систему одного из региональных поставщиков электроэнергии с целью повредить его инфраструктуру.
Писали также, что хакеры массово похищают пароли и файлы украинцев, включая аутентификационные данные из браузеров, плагинов крипто-кошельков, программ многофакторной аутентификации. Вредоносное ПО рассылают по электронной почте вместе с "программой для записи в журнал".