Мошенники используют платежные электронные письма для кибератак: что надо знать

Правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA обнаружила и исследовала факт распространения хакерской группировкой UAC-0006 электронных писем с использованием скомпрометированных учетных записей с темой «счета/оплаты» с приложением в виде ZIP-архива.

Об этом пишет УНН с ссылкой на Государственную службу специальной связи и защиты информации Украины.

Упомянутый ZIP-архив является файлом-полиглотом, содержащим документ-приманку и JavaScript-файл, который, используя PowerShell, обеспечит загрузку и запуск исполняемого файла. Последний, в свою очередь, осуществит запуск вредоносной программы SmokeLoader.

Даты регистрации доменных имен, а также дата компиляции файла свидетельствуют о том, что кампания инициирована в апреле 2023 года.

«Активность группы UAC-0006 является финансово мотивированной и осуществлялась с 2013 года по июль 2021 года. Новая активность является своеобразным «возвращением» группы. Типичный злонамеренный замысел заключается в поражении ЭВМ бухгалтеров (с помощью которых осуществляется обеспечение финансовой деятельности, например, доступ к системам дистанционного банковского обслуживания), похищении аутентификационных данных (логин, пароль, ключ / сертификат) и создании несанкционированных платежей (в некоторых случаях с использованием HVNC-бота, непосредственно с пораженной ЭВМ)», – отмечают в CERT-UA.

Учитывая, что упомянутой группой на этапе первичного поражения типично используются JavaScript-загрузчики, временно минимизировать вероятность поражения возможно путем блокировки запуска wscript.exe (Windows Script Host) на ЭВМ, предупредили в ведомстве.