Национальная команда реагирования на киберинциденты CERT-UA, действующая в составе Государственного центра киберзащиты Госспецсвязи, выявила новую серию целенаправленных кибератак на представителей Сил обороны Украины.
Злоумышленники, отслеживаемые по идентификатору UAC-0245, используют вредоносные XLL-файлы, маскирующиеся под важные документы, такие как «Обращение УБД.xll» или документы, связанные с задержанием лиц на границе. Распространение происходит, в том числе, через мессенджер Signal.
Целью атак является установка бэкдора CABINETRAT, который предоставляет злоумышленникам удаленный доступ к зараженным системам.
В отличие от привычных атак с использованием документов Word, XLL-файлы являются исполняемыми, и их открытие в Microsoft Excel инициирует многоступенчатую атаку. Сначала на компьютере создаются вредоносные файлы, включая исполняемый файл-запуск (runner.exe) и дополнительную XLL-надстройку (loader.xll), которая размещается в каталоге автозапуска Excel. В конце цепочки запускается скрытый процесс Excel, который загружает и выполняет основной вредоносный компонент, скрытый в обычном PNG-изображении.
CERT-UA призывает быть осторожными с архивами и файлами, полученными через мессенджеры, даже если они приходят от знакомых контактов, поскольку их аккаунты могли быть взломаны.
Подписывайтесь на наш Тelegram-канал t.me/sudua и на Google Новости SUD.UA, а также на наш VIBER, страницу в Facebook и в Instagram, чтобы быть в курсе самых важных событий.