Хакери зламують українців, лякаючи боргами: які листи не можна відкривати і чим це загрожує

Хакер, кібератака
Фото: bun.com.ua | Хакерська атака

У документах від імені Державної податкової служби міститься небезпечний вірус, який відкриває доступ до комп'ютера жертви.

Хакери атакують мешканців України, розсилаючи шкідливі листи про податкові штрафи та ядерний тероризм. Про це попереджає урядова команда реагування на комп'ютерні надзвичайні події (CERT-UA), що діє при Державній службі спеціального зв'язку та захисту інформації.

В одному із звітів CERT-UA повідомила, що зловмисники від імені Державної податкової служби України надсилають жертвам листи з темою "Повідомлення про несплату податку". У тексті повідомляється про закінчення терміну сплати податків за другий квартал 2022 року та пропонується ознайомитися із сумою боргу у прикріпленому документі. Останній має назву "Накладення штрафних санкцій.docx" ("Накладення штрафних санкцій.docx") та міститься в архіві, пароль від якого також вказано у листі.

При відкритті документа на пристрій автоматично завантажується HTML-файл і виконується JavaScript-код (CVE-2022-30190), який встановлює та запускає вірусну програму Cobalt Strike Beacon. Як відзначають фахівці, таким чином хакери працюють уже тривалий час, їхня активність відстежується за ідентифікатором UAC-0098.

CERT-UA, Cobalt Strike Beacon Fullscreen
Звіт CERT-UA про кібератаку з використанням Cobalt Strike Beacon
Фото: CERT-UA

Cobalt Strike — це комерційне програмне забезпечення для імітації дій зловмисників, яке використовується для тестування систем. Воно було вкрадено та зламано, а тепер активно використовується зловмисниками для здійснення кібератак. Шкідливе навантаження всередині програми називається Beacon (маяк), воно використовується для з'єднання з командним сервером.

CERT-UA також виявила розсилку шкідливого документа "Реальна загроза ядерного тероризму.rtf" (Nuclear Terrorism A Very Real Threat.rtf). Його відкриття призводить до завантаження HTML-файлу та виконання JavaScript-коду (CVE-2022-30190), який забезпечить завантаження та запуск шкідливої програми CredoMap, яка дозволяє красти дані користувачів із пристрою.

"Метадані свідчать про модифікацію документа 09.06.2022, а отже, його поширення могло бути здійснене ще 10.06.2022. За сукупністю характерних ознак вважаємо за можливе асоціювати виявлену активність з діяльністю групи APT28", — пишуть експерти. Варто зазначити, що групу хакерів APT28 пов'язують з Росією.

Кібератака, ядерний тероризм Fullscreen
Звіт про атаку з документом на тему ядерного тероризму
Фото: CERT-UA

Раніше писали, як українські хакери позбавили росіян доступу до грошей. Велика кількість користувачів атакувала російські системи, що призвело до збоїв у роботі сайтів та мобільних додатків банків, а в результаті завадило клієнтам проводити банківські операції.

Повідомляли також, що хакери безкоштовно "зливають" дані російських компаній для заподіяння збитків. За останні два місяці у даркнеті у відкритому доступі розмістили понад 50 баз з інформацією, якою може скористатися будь-хто. Йдеться про імена, телефони, адреси, паролі та паспортні дані.