Злоумышленники снова распространяют вредоносную программу в электронных письмах с тематикой «счетов».
Сообщения в этих письмах содержат вложения с названием [Акт_Звірки_та_рах.факт_вiд1207_2023.zip]. Открытие этого файла приведет к загрузке и запуску вредоносного приложения SmokeLoader.
Правительственная команда реагирования на чрезвычайные события Украины CERT-UA обнаружила и исследовала факт распространения хакерской группировкой UAC-0006 электронных писем с использованием скомпрометированных учетных записей с темой «счета/оплаты» с приложением в виде ZIP-архива.
Указанный ZIP-архив является файлом-полиглотом, содержащим документ-приманку и JavaScript-файл, который, используя PowerShell, обеспечит загрузку и запуск исполняемого файла. Последний, в свою очередь, произведет запуск вредоносной программы SmokeLoader.
В CERT-UA отмечают, что активность группы UAC-0006 финансово мотивирована и осуществлялась с 2013 года по июль 2021 года. Новая активность есть своеобразное «возвращение» группы. Типичная злонамеренная задумка заключается в поражении ЭВМ бухгалтеров (с помощью которых осуществляется обеспечение финансовой деятельности, например, доступ к системам дистанционного банковского обслуживания), похищении аутентификационных данных (логин, пароль, ключ / сертификат) и создании несанкционированных платежей (в некоторых случаях с использованием HVNC-бота, непосредственно с пораженной ЭВМ).
Учитывая, что упомянутой группой на этапе первичного поражения типично используются загрузчики JavaScript, временно минимизировать вероятность поражения возможно путем блокирования запуска wscript.exe (Windows Script Host) на ЭВМ.
Общая информация по атаке и индикаторы киберугроз доступны по ссылке https://cert.gov.ua/article/4555802
