CERT-UA попередила про розповсюджуване серед держорганів шкідливе ПЗ в архівах під назвою "Заборгованість із зарплати"
"У додатку до листа розміщено документ "Заборгованість по зарплаті.xls", який містить легітимні статистичні дані та макрос. Водночас до зазначеного документа у вигляді вкладення додано кодовані дані. Макрос після активації здійснить їх декодування, створить EXE-файлу "Base-Update.exe" на комп'ютері та запустить його", - повідомляє Держспецзв'язку в телеграм-каналі.
Зазначений файл здійснить завантаження і запуск іншого завантажувача, який, своєю чергою, забезпечить завантаження і запуск на комп'ютері одразу двох шкідливих програм: GraphSteel та GrimPlant.
"Виявлену активність асоційовано з діяльністю групи UAC-0056. У разі виявлення зазначеного повідомлення просимо не відкривати файлів та негайно повідомити про це на пошту cert@cert.gov.ua", - ідеться в повідомленні Держспецзв'язку.
Також повідомляємо
Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, виявила розповсюдження архіву "ІнформаціящодовтратвійськовослужбовцівЗС_України.docx.exe". Він містить файл-приманку "Втрати-1001.docx", а також стиснутий файл "googleupdate.exe".
Після проведення аналізу фахівці CERT-UA класифікували згаданий EXE-файл як шкідливу програму PseudoSteel. Ця програма після потрапляння на комп’ютер проводить пошук файлів (*.txt, *.doc, *.docx, *.pdf, *.xls, *.xlsx, *.ppt, *.pptx, *.odt, *.rtf, *.zip, *.rar, *.7z) і вивантажує їх на зовнішній FTP-сервер. Таким чином інформація з цих файлів може стати доступною зловмисникам.
З низьким рівнем впевненості активність асоційовано з діяльністю групи UAC-0010 (Armageddon).
У разі виявлення вказаного файлу просимо негайно повідомити про це на пошту cert@cert.gov.ua.
Просимо бути обережними і не відкривати файлів невідомого походження, не переходити на сумнівні посилання та уважно дивитися, чи справжні сторінки вам пропонують відкрити, чи це – фішингові підробки.
Безпека в інтернеті починається з нашої власної кібергігієни!