Хакери почали розсилати українцям листи "від президента": у чому небезпека е-мейлів

Хакер, кібератака
Фото: Getty Images | Хакер проводить кібератаку

Спроба відкрити документ призведе до запуску ПЗ Meterpreter, яке збирає інформацію про комп'ютер і надає віддалений доступ.

Related video

Хакери намагаються зламати державні органи України, розсилаючи фішингові листи із фальшивим указом президента. Про це на своєму сайті попередила урядова команда реагування на надзвичайні комп'ютерні події (CERT-UA).

Один із чиновників отримав електронний лист із темою "Указ Президента України №576/22 про безпрецедентні заходи безпеки", та ISO-файл, підписаний так само. Варто зазначити, що формат ISO передбачає образ даних компакт-диска, його також використовують для стиснення файлів.

Як встановили фахівці, зловмисники помістили в ISO-файл документ "a.docx", який є приманкою для користувачів, файл "УКАЗ ПРЕЗИДЕНТА УКРАЇНИ №151_2022.mp4.lnk", PowerShell-скрипт "z.ps1" та EXE-файл "b. exe". Файл LNK слугує посиланням на вихідний файл, після запуску він активує PowerShell-скрипт, який відкриє DOCX-файл і виконає файл "b.exe". Унаслідок чого комп'ютер буде вражений шкідливою програмою Meterpreter.

лист. файл, е-мейл Fullscreen
Шкідливі файли, що розсилаються хакерами
Фото: CERT-UA

Як пише сайт "Хабр", Meterpreter — це розширена функціональна начинка для ПЗ (Payload). Найчастіше такий вірус використовує уразливість Windows і дозволяє зловмисникам збирати інформацію про комп'ютер, враховуючи паролі, налаштування і список користувачів, а також отримати віддалений доступ до робочого столу.

CERT-UA пов'язує кібератаку з групами UAC-0098 та TrickBot. Центр протидії інформації у Facebook зазначає, що раніше ці хакери вже атакували державні органи, зокрема розсилали фішингові листи, у темі яких згадувався маріупольський завод "Азовсталь".

Додамо також, що указу президента №576/22 не існує. Згідно з офіційним сайтом, у листопаді 2021 року Володимир Зеленський підписав указ №576/2021, яким розпорядився нагородити кількох українців орденами за захист країни. Указ президента №151/2022, згаданий у назві ISO-файлу, оприлюднений 19 березня 2022 року, він передбачає набуття чинності рішення РНБО "Про нейтралізації загроз інформаційній безпеці держави".

Раніше CERT-UA повідомила про іншу атаку хакерів на українські держструктури під виглядом розсилки "мобілізаційного реєстру". Зловмисники замаскували комп'ютерний вірус під документ Microsoft Excel, запуск якого призводить до викрадення даних, необхідних для авторизації в банківських системах.

Повідомляли також, що Росія посилює ракетні удари по Україні кібератаками. Фахівці з компанії Microsoft зафіксували випадки, коли хакери намагалися зламати українські державні органи незадовго до обстрілу.

До цього хакери зламали систему одного з найбільших банків Росії — "Петербурзького соціального комерційного банку". Вони отримали сотні тисяч файлів та електронних листів, які містять ПЗ та цінні документи про фінансові операції.