Хакери почали розсилати українцям листи "від президента": у чому небезпека е-мейлів

Хакер, кібератака
Фото: Getty Images | Хакер проводить кібератаку

Спроба відкрити документ призведе до запуску ПЗ Meterpreter, яке збирає інформацію про комп'ютер і надає віддалений доступ.

Хакери намагаються зламати державні органи України, розсилаючи фішингові листи із фальшивим указом президента. Про це на своєму сайті попередила урядова команда реагування на надзвичайні комп'ютерні події (CERT-UA).

Один із чиновників отримав електронний лист із темою "Указ Президента України №576/22 про безпрецедентні заходи безпеки", та ISO-файл, підписаний так само. Варто зазначити, що формат ISO передбачає образ даних компакт-диска, його також використовують для стиснення файлів.

Як встановили фахівці, зловмисники помістили в ISO-файл документ "a.docx", який є приманкою для користувачів, файл "УКАЗ ПРЕЗИДЕНТА УКРАЇНИ №151_2022.mp4.lnk", PowerShell-скрипт "z.ps1" та EXE-файл "b. exe". Файл LNK слугує посиланням на вихідний файл, після запуску він активує PowerShell-скрипт, який відкриє DOCX-файл і виконає файл "b.exe". Унаслідок чого комп'ютер буде вражений шкідливою програмою Meterpreter.

лист. файл, е-мейл Fullscreen
Шкідливі файли, що розсилаються хакерами
Фото: CERT-UA

Як пише сайт "Хабр", Meterpreter — це розширена функціональна начинка для ПЗ (Payload). Найчастіше такий вірус використовує уразливість Windows і дозволяє зловмисникам збирати інформацію про комп'ютер, враховуючи паролі, налаштування і список користувачів, а також отримати віддалений доступ до робочого столу.

CERT-UA пов'язує кібератаку з групами UAC-0098 та TrickBot. Центр протидії інформації у Facebook зазначає, що раніше ці хакери вже атакували державні органи, зокрема розсилали фішингові листи, у темі яких згадувався маріупольський завод "Азовсталь".

Додамо також, що указу президента №576/22 не існує. Згідно з офіційним сайтом, у листопаді 2021 року Володимир Зеленський підписав указ №576/2021, яким розпорядився нагородити кількох українців орденами за захист країни. Указ президента №151/2022, згаданий у назві ISO-файлу, оприлюднений 19 березня 2022 року, він передбачає набуття чинності рішення РНБО "Про нейтралізації загроз інформаційній безпеці держави".

Раніше CERT-UA повідомила про іншу атаку хакерів на українські держструктури під виглядом розсилки "мобілізаційного реєстру". Зловмисники замаскували комп'ютерний вірус під документ Microsoft Excel, запуск якого призводить до викрадення даних, необхідних для авторизації в банківських системах.

Повідомляли також, що Росія посилює ракетні удари по Україні кібератаками. Фахівці з компанії Microsoft зафіксували випадки, коли хакери намагалися зламати українські державні органи незадовго до обстрілу.

До цього хакери зламали систему одного з найбільших банків Росії — "Петербурзького соціального комерційного банку". Вони отримали сотні тисяч файлів та електронних листів, які містять ПЗ та цінні документи про фінансові операції.