З огляду на розгром російських сухопутних військ на основних напрямках просування та безпрецедентні втрати російської авіації, з метою деморалізації цивільного населення окрім обстрілів мирних мешканців України ворог продовжує також інформаційно-психологічні операції. Фахівці з кібербезпеки повідомляють про новий спосіб, яким окупанти інфікують комп'ютери українців небезпечним цифровим вірусом.

Про це на своїй сторінці у соціальній мережі Facebook повідомила урядова команда реагування на комп’ютерні надзвичайні ситуації CERT-UA.

"Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA від суб'єктів координації отримано повідомлення про розповсюдження електронних листів від імені державних органів України з інструкціями щодо підвищення рівня інформаційної безпеки. У тілі листа знаходиться посилання на веб-сайт hxxps://forkscenter[.]fr/, з якого пропонується завантажити «критичні оновлення» у вигляді файлу «BitdefenderWindowsUpdatePackage.exe» розміром близько 60МБW", - йдеться у повідомленні

Детальніше суть загрози українські кіберзахисники роз'яснили на своєму офіційному сайті. 

"З'ясовано, що згаданий файл забезпечить виконання завантажувача «alt.exe», який здійснить завантаження файлів «one.exe» та «dropper.exe» з сервісу Discord та їхній запуск. В рамках дослідження визначено, що запуск «one.exe» призведе до ураження комп'ютера шкідливою програмою Cobalt Strike Beacon. Виконуваний файл «dropper.exe» здійснить завантаження base64-кодованих даних, та їхнє декодування в EXE-файл, розроблений з використанням мови програмування Go. Аналіз файлів продовжується. Зауважимо, що EXE-файли захищено протектором Themida. З середнім рівнем впевненості асоціюємо виявлену активність з діяльністю групи UAC-0056", - пишуть вони. 

 

Індикатори компрометації 

Файли: 

ca9290709843584aecbd6564fb978bd6    Інструкція з антивірусного захисту.doc (документ-приманка)
cf204319f7397a6a31ecf76c9531a549    Інструкція користувачів.doc (документ-приманка)
b8b7a10dcc0dad157191620b5d4e5312    BitdefenderWindowsUpdatePackage.exe
2fdf9f3a25e039a41e743e19550d4040    alt.exe
aa5e8268e741346c76ebfd1f27941a14    one.exe (містить Cobalt Strike Beacon)
15c525b74b7251cfa1f7c471975f3f95    dropper.exe
c8bf238641621212901517570e96fae7    i.exe

 

Мережеві: 

hxxps://forkscenter[.]fr/BitdefenderWindowsUpdatePackage.exe
hxxps://cdn.discordapp[.]com/attachments/947916997713358890/949948174636830761/one.exe
hxxps://cdn.discordapp[.]com/attachments/947916997713358890/949948174838165524/dropper.exe
hxxps://nirsoft[.]me/s/2MYmbwpSJLZRAtXRgNTAUjJSH6SSoicLPIrQl/field-keywords/
hxxp://45[.]84.0.116:443/i
forkscenter[.]fr (2022-01-29)
nirsoft[.]me    (2022-02-17)
45[.]84.0.116

 

Хостові: 

%TMP%\alt.exe
%PROGRAMDATA%\one.exe
%PROGRAMDATA%\dropper.exe

 

 

ІА "Вголос": НОВИНИ