Хакери зламують українців, лякаючи боргами: які листи не можна відкривати і чим це загрожує

Хакери атакують мешканців України, розсилаючи шкідливі листи про податкові штрафи та ядерний тероризм. Про це попереджає урядова команда реагування на комп'ютерні надзвичайні події (CERT-UA), що діє при Державній службі спеціального зв'язку та захисту інформації.

В одному із звітів CERT-UA повідомила, що зловмисники від імені Державної податкової служби України надсилають жертвам листи з темою "Повідомлення про несплату податку". У тексті повідомляється про закінчення терміну сплати податків за другий квартал 2022 року та пропонується ознайомитися із сумою боргу у прикріпленому документі. Останній має назву "Накладення штрафних санкцій.docx" ("Накладення штрафних санкцій.docx") та міститься в архіві, пароль від якого також вказано у листі.

При відкритті документа на пристрій автоматично завантажується HTML-файл і виконується JavaScript-код (CVE-2022-30190), який встановлює та запускає вірусну програму Cobalt Strike Beacon. Як відзначають фахівці, таким чином хакери працюють уже тривалий час, їхня активність відстежується за ідентифікатором UAC-0098.

Cobalt Strike — це комерційне програмне забезпечення для імітації дій зловмисників, яке використовується для тестування систем. Воно було вкрадено та зламано, а тепер активно використовується зловмисниками для здійснення кібератак. Шкідливе навантаження всередині програми називається Beacon (маяк), воно використовується для з'єднання з командним сервером.

CERT-UA також виявила розсилку шкідливого документа "Реальна загроза ядерного тероризму.rtf" (Nuclear Terrorism A Very Real Threat.rtf). Його відкриття призводить до завантаження HTML-файлу та виконання JavaScript-коду (CVE-2022-30190), який забезпечить завантаження та запуск шкідливої програми CredoMap, яка дозволяє красти дані користувачів із пристрою.

"Метадані свідчать про модифікацію документа 09.06.2022, а отже, його поширення могло бути здійснене ще 10.06.2022. За сукупністю характерних ознак вважаємо за можливе асоціювати виявлену активність з діяльністю групи APT28", — пишуть експерти. Варто зазначити, що групу хакерів APT28 пов'язують з Росією.

Раніше писали, як українські хакери позбавили росіян доступу до грошей. Велика кількість користувачів атакувала російські системи, що призвело до збоїв у роботі сайтів та мобільних додатків банків, а в результаті завадило клієнтам проводити банківські операції.

Повідомляли також, що хакери безкоштовно "зливають" дані російських компаній для заподіяння збитків. За останні два місяці у даркнеті у відкритому доступі розмістили понад 50 баз з інформацією, якою може скористатися будь-хто. Йдеться про імена, телефони, адреси, паролі та паспортні дані.