Нова кіберзагроза: українці масово отримують небезпечні електронні листи
Управління реагування на кіберзагрози України (CERT-UA) зафіксувало поширення електронних листів, які містять тему «Заборгованості за договором Київстар». Ці електронні повідомлення включають вкладення у вигляді архіву «Заборгованість абонента.zip».
Зазначений ZIP-архів розділений на дві частини RAR-архіву під назвою «Заборгованість абонента.rar». Варто відзначити, що цей архів захищений паролем. У внутрішньому архіві міститься документ з макросом «Заборгованість абонента.doc».
При активації макросу файлу за допомогою файлового менеджера (explorer.exe) та використання протоколу SMB, відбувається завантаження на комп'ютер та запуск файлу «GB.exe». Цей файл є саморозпаковувальним архівом (SFX), який містить BATCH-скрипт для завантаження з сервісу bitbucket та запуску виконуваного файлу «wsuscr.exe». Останній файл зашифрований за допомогою SmartAssembly .NET і призначений для розшифрування та запуску програми для віддаленого керування RemcosRAT (ідентифікатор ліцензії: 5639D40461DCDD07011A2B87AD3C9EDD).
Також було зафіксовано поширення листів із темою «Запит СБУ» та вкладенням у вигляді архіву «Документи.zip». Цей архів містить захищений паролем RAR-архів, розділений на три частини «Запит.rar», в якому міститься виконуваний файл «Запит.exe». При відкритті такого архіву та запуску файлів, ЕОМ може бути заражено програмою RemcosRAT (ідентифікатор ліцензії: 5639D40461DCDD07011A2B87AD3C9EDD).
Крім того, сервери управління RemcosRAT, крім типового розміщення у UAC-0050, також були розміщені в межах автономної системи AS44477 (STARK INDUSTRIES SOLUTIONS LTD) разом з технічним майданчиком малайзійського хостинг-провайдера Shinjiru.
Підписуйтесь на наш Telegram-канал t.me/sudua та на Google Новини SUD.UA, а також на нашу сторінку у Facebook та в Instagram, щоб бути в курсі найважливіших подій.
