Хакеры начали рассылать украинцам письма "от президента": в чем опасность е-мейлов
Попытка открыть документ приведет к запуску ПО Meterpreter, которое собирает информацию о компьютере и предоставляет удаленный доступ.
Хакеры пытаются взломать государственные органы Украины, рассылая фишинговые письма с фальшивым указом президента. Об этом на своем сайте предупредила правительственная команда реагирования на чрезвычайные компьютерные происшествия (CERT-UA).
Один из чиновников получил электронное письмо с темой "Указ Президента Украины № 576/22 о беспрецедентных мерах безопасности", и ISO-файл, подписанный таким же образом. Стоит отметить, формат ISO предусматривает образ данных компакт-диска, его также используют для сжатия файлов.
Как установили специалисты, злоумышленники поместили в ISO-файл документ "a.docx", выступающий приманкой для пользователей, файл "УКАЗ ПРЕЗИДЕНТА УКРАИНЫ №151_2022.mp4.lnk", PowerShell-скрипт "z.ps1" и EXE-файл "b.exe". Файл LNK служит в качестве ссылки на исходный файл, при запуске он активирует PowerShell-скрипт, который откроет DOCX-файл и выполнит файл "b.exe". В результате, компьютер будет поражен вредоносной программой Meterpreter.
Как пишет cайт "Хабр", Meterpreter — это расширенная многофункциональная начинка для ПО (Payload). Чаще всего такой вирус использует уязвимость Windows и позволяет злоумышленникам собирать информацию о компьютере, включая пароли, настройки и список пользователей, а также получить удаленный доступ к рабочему столу.
CERT-UA связывает кибератаку с группами UAC-0098 и TrickBot. Центр противодействия информации в Facebook отмечает, что ранее эти хакеры уже атаковали государственные органы, в частности рассылали фишинговые письма, в теме которых упоминался мариупольский завод "Азовсталь".
Добавим также, что указа президента №576/22 не существует. Согласно официальному сайту, в ноябре 2021 года Владимир Зеленский подписал указ №576/2021, которым распорядился наградить нескольких украинцев орденами за защиту страны. Указ президента №151/2022, упомянутый в названии ISO-файла, обнародован 19 марта 2022 года, он предусматривает введение в действие решения СНБО "О нейтрализации угроз информационной безопасности государства".
Ранее CERT-UA сообщила о другой хакерской атаке на украинские госструктуры под видом рассылки "мобилизационного реестра". Злоумышленники замаскировали компьютерный вирус под документ Microsoft Excel, запуск которого приводит к похищению пользовательских данных, необходимых для авторизации в банковских системах.
Cообщали также, что Россия усиливает ракетные удары по Украине кибератаками. Специалисты из компании Microsoft зафиксировали случаи, когда хакеры пытались взломать украинские государственные органы незадолго до обстрелов.
До этого хакеры взломали систему одного из крупнейших банков России — "Петербургского социального коммерческого банка". Они получили сотни тысяч файлов и электронных писем, которые содержат ПО и ценные документы о проводимых финансовых операциях.