Хакери надсилають ​начебто від імені Держспецзв'язку листи зі шкідливим посиланням – CERT-UA

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA із 7 листопада фіксує розсилання електронних листів начебто від імені Держспецзв'язку зі шкідливим посиланням. Про це повідомила пресслужба CERT-UA.

Кібератаку приписують групи UAC-0010 (Armageddon).

У разі переходу за посиланням буде завантажено HTML-файл, який містить JavaScript-код, що забезпечить створення на комп'ютері жертви RAR-архіву, наприклад “08.11.2022.rar”.

Згаданий архів містить файл-ярлик “Засоби ТЗІ, які мають експертний висновок про відповідність до вимог технічного захисту інформації.lnk”, відкриття якого призведе до завантаження і запуску HTA-файлу. Це, своєю чергою, спричинить створення запланованого завдання та подальший запуск VBScript-коду.

Насамкінець, зазначає CERT-UA, на комп'ютер будуть завантажені інші шкідливі програми, зокрема для викрадення файлів. 

Розсилання електронних листів здійснюється за допомогою сервісу @mail.gov.ua. Крім того, як і раніше, для визначення IP-адреси сервера управління використовується або третьосторонній сервіс (cloudflare-dns[.]com), або Telegram, зазначає CERT-UA.