Хакери почали розсилати українцям листи "від президента": у чому небезпека е-мейлів
Спроба відкрити документ призведе до запуску ПЗ Meterpreter, яке збирає інформацію про комп'ютер і надає віддалений доступ.
Хакери намагаються зламати державні органи України, розсилаючи фішингові листи із фальшивим указом президента. Про це на своєму сайті попередила урядова команда реагування на надзвичайні комп'ютерні події (CERT-UA).
Один із чиновників отримав електронний лист із темою "Указ Президента України №576/22 про безпрецедентні заходи безпеки", та ISO-файл, підписаний так само. Варто зазначити, що формат ISO передбачає образ даних компакт-диска, його також використовують для стиснення файлів.
Як встановили фахівці, зловмисники помістили в ISO-файл документ "a.docx", який є приманкою для користувачів, файл "УКАЗ ПРЕЗИДЕНТА УКРАЇНИ №151_2022.mp4.lnk", PowerShell-скрипт "z.ps1" та EXE-файл "b. exe". Файл LNK слугує посиланням на вихідний файл, після запуску він активує PowerShell-скрипт, який відкриє DOCX-файл і виконає файл "b.exe". Унаслідок чого комп'ютер буде вражений шкідливою програмою Meterpreter.
Як пише сайт "Хабр", Meterpreter — це розширена функціональна начинка для ПЗ (Payload). Найчастіше такий вірус використовує уразливість Windows і дозволяє зловмисникам збирати інформацію про комп'ютер, враховуючи паролі, налаштування і список користувачів, а також отримати віддалений доступ до робочого столу.
CERT-UA пов'язує кібератаку з групами UAC-0098 та TrickBot. Центр протидії інформації у Facebook зазначає, що раніше ці хакери вже атакували державні органи, зокрема розсилали фішингові листи, у темі яких згадувався маріупольський завод "Азовсталь".
Додамо також, що указу президента №576/22 не існує. Згідно з офіційним сайтом, у листопаді 2021 року Володимир Зеленський підписав указ №576/2021, яким розпорядився нагородити кількох українців орденами за захист країни. Указ президента №151/2022, згаданий у назві ISO-файлу, оприлюднений 19 березня 2022 року, він передбачає набуття чинності рішення РНБО "Про нейтралізації загроз інформаційній безпеці держави".
Раніше CERT-UA повідомила про іншу атаку хакерів на українські держструктури під виглядом розсилки "мобілізаційного реєстру". Зловмисники замаскували комп'ютерний вірус під документ Microsoft Excel, запуск якого призводить до викрадення даних, необхідних для авторизації в банківських системах.
Повідомляли також, що Росія посилює ракетні удари по Україні кібератаками. Фахівці з компанії Microsoft зафіксували випадки, коли хакери намагалися зламати українські державні органи незадовго до обстрілу.
До цього хакери зламали систему одного з найбільших банків Росії — "Петербурзького соціального комерційного банку". Вони отримали сотні тисяч файлів та електронних листів, які містять ПЗ та цінні документи про фінансові операції.