Російські хакери почали розсилати листи зі шкідливим ПЗ від імені Київстару
Хакери продовжують використовувати проблеми, які хвилюють тисячі українців, для розповсюдження шкідливого програмного забезпечення. Цього разу фахівці Урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA зафіксували масове розсилання електронних листів з тематикою «заборгованості за договором Київстар» і вкладенням у вигляді архіву «Заборгованість абонента.zip».
Так, на електронні пошти українців приходили листи щодо «Заборгованості за договором Київстар», які містили вкладення у вигляді архіву «Заборгованість абонента.zip» з додатками у вигляді вкладених захищених паролем RAR-архівів.
Крім того, в CERT-UA зафіксовано розповсюдження листів за темою «Запит СБУ» та вкладенням у вигляді архіву «Документи.zip». Він містить захищений паролем RAR-архів «Запит.rar» з виконуваним файлом «Запит.exe». Відкриття архіву та запуск файлу, як і в попередньому випадку, призводять до ураження програмою віддаленого доступу RemcosRAT.
Фахівці CERT-UA зазначають, що крім типового для UAC-0050 розміщення серверів управління RemcosRAT на технічному майданчику малайзійського хостинг-провайдера Shinjiru, їх також розміщено в межах автономної системи AS44477.
Фахівці урядової команди реагування вкотре рекомендують фільтрувати на рівні поштових шлюзів електронні листи з додатками, що захищені паролями (як архіви, так і документи).
Зазначається, що це не перша подібна атака угруповання UAC-0050. Нещодавно кіберзловмисники здійснювали розсилання листів щодо «судових претензій» і «заборгованості». Об’єктом атаки стали користувачі з України та Польщі. Група UAC-0050 також намагалася викрадати дані, маскуючись під МЗС України.