Правительственной командой реагирования на компьютерные чрезвычайные события Украины ( ) получена информация о распространении электронных писем с темой «Первичная правовая помощь» и вложением «Алгоритм действий членов семьи без вести пропавшего военнослужащего LegalAid.rar», которое защищено паролем. По словам специалистов, письма рассылались со скомпрометированных адресов электронной почты в домене gov.ua.
RAR-архив содержит документ «Алгоритм_LegalAid.xlsm» с юридической информацией. При открытии файла активируется макрос и запускается PowerShell-команда, которая обеспечивает развертку и запуск .NET-загрузчика «MSCommondll.exe». Тот, в свою очередь, приводит к установке и запуску трояна – это хакерский инструмент, который дает зломышленникам широкий доступ к системе, в том числе возможность отслеживать нажатие клавиш, проводить DDoS-атаки, выполнять команды, делать скриншоты, красть данные из буфера обмена, Telegram и веб-браузеров.
«Исходя из email-адресов получателей электронных писем, а также домена управления DarkCrystal RAT предполагаем, что атака направлена в отношении операторов и провайдеров телекоммуникаций Украины. В ходе предварительной атаки, 10.06.2022, объектами заинтересованности злоумышленников были медийные организации Украины», – подытожила СERT-UA.
Автор публикации
Выкладываю новости технологий и интересные статьи с темной стороны интернета.
