Хакеры атакуют украинских операторов и провайдеров, используя программу из РФ

Хакер, Росія
Фото: Getty Images | Ілюстративне фото: російський хакер

Комп'ютерний вірус DarkCrystal RAT надає зловмисникам широкі можливості для крадіжки даних та стеження за користувачами.

Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA) зафіксувала атаку хакерів на українських Інтернет-провайдерів та операторів зв'язку. Вона представила звіт на офіційному сайті.

Зловмисники використовують електронну адресу в урядовому домені gov.ua, імовірно, зламану, для надсилання електронних листів з темою "Первинна правова допомога". До них прикріплений запаролений архів під назвою "Алгоритм дій членів сім'ї безвісти зниклого військовослужбовця LegalAid", в якому міститься документ "Алгоритм_LegalAid.xlsm" з юридичною інформацією.

При відкритті файлу запускається програмний алгоритм дій (макрос) та виконується PowerShell-команда, яка забезпечує скачування та запуск завантажувача "MSCommondll.exe". Той призводить до встановлення та запуску троянської програми DarkCrystal RAT — це хакерський інструмент, який забезпечує зловмисникам широкий доступ до системи, зокрема можливість відстежувати натискання клавіш, проводити DDoS-атаки, виконувати команди, робити скріншоти, красти дані з буферу обміну, месенджера Telegram і веббраузерів.

Хакерська атака Fullscreen
Деталі хакерської атаки
Фото: CERT-UA

Як пише сайт Cyber Security News, DarkCrystal RAT створений у Росії, ймовірно, однією людиною, яка використовує псевдоніми boldenis44, crystalcoder і Кодер. На російських хакерських форумах "троян" надається у межах двомісячної підписки вартістю 500 рублів (близько $6).

"Виходячи з email-адрес одержувачів електронних листів, а також домену управління DarkCrystal RAT припускаємо, що атака спрямована на операторів і провайдерів телекомунікацій України. Під час попередньої атаки, 10.06.2022, об'єктами зацікавленості зловмисників були медійні організації України", — підсумувала СERT-UA

Раніше писали, що хакери зламують українців, лякаючи боргами перед державою. Фахівці із СERT-UA розповіли, які листи не можна відкривати, та попередили про наслідки. Після відкриття прикріпленого файлу запускається вірусна програма Cobalt Strike Beacon.

Тим часом хакери крадуть і публікують дані російських компаній. У багатьох випадках вони не просять жодних грошей, а просто прагнуть завдати максимальної шкоди Росії. У базах є паспортні дані, телефони, адреси, паролі клієнтів.