Новини

Фішингові листи на тему коронавірусу, що приховують у собі шкідливі програмні забезпечення
25.03.2020

Наразі зловмисники використовують ситуацію пов’язану з пандемією коронавірусу, як підхід соціальної інженерії направлений проти користувачів. У фішингових листах користувачам пропонується встановити додаток, який обіцяє надавати актуальну інформацію щодо епідеміологічного стану в світі. Як приклад, при запуску зловмисної програми CoronaMap.exe відображається інформація з онлайн карт щодо поширення коронавірусу, яка розміщена на сайті  Університету Джона Хопкінса, а в прихованному режимі ініціюється запуск шкідливого програмного забезпечення, відомого як AZORult.

AZORult – шкідливе програмне забезпечення (далі – ШПЗ) типу «троянський кінь», призначене для збору різноманітної конфіденційної інформації користувача, такої як дані з месенджерів та браузерів, в тому числі файли cookie, ідентифікатори користувачів та пристроїв, паролі та інформація, що пов’язана з інтернет-банкінгом чи криптовалютами. Для ідентифікації при з’єднанні з командно-контрольним сервером використовуються дані про інфікований пристрій. 

Фахівцями урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA проаналізовано інциденти пов’язані з даним способом отримання несанкціонованого доступу до інформації користувачів, способи розповсюдження, вектори зараження та методологію роботи ШПЗ та звіти про подібні інциденти.

Встановлено, що зловмисники поширюють ШПЗ за допомогою розсилки спам-повідомлень на електронні скриньки. Електронні листи зазвичай містять оманливий текст, що спонукає користувачів відкрити вкладені файли (наприклад – актуальна інформація, щодо розповсюдження коронавірусу в світі). Після завантаження та запуску вкладення користувачем виконується певний перелік команд, що дає змогу AZORult бути виконаним на цільовій системі. 

    Дерево процесів, що породжується під час запуску зловмисної програми CoronaMap.exe

 

 

 

Дане ШПЗ працює на всіх версіях Windows (від Windows XP до Windows 10, 32- та 64-bit), для запуску потребує Java будь-якої версії та за необхідності може її оновлювати, а також завантажувати додаткові компоненти ШПЗ, через що йому не потрібні MS Office та .NET.

Враховуючи вищезазначене, звертаємо особливу увагу представників державних органів та об’єктів критичної інфраструктури на те, що подібний підхід може використовуватись APT групами для розвідки, викрадення даних чи реалізації інших атак. Рекомендуємо провести відповідні інструктажі персоналу щодо розповсюдження фішингу.

Механізм ураження системи ускладнює видалення ШПЗ з інфікованих пристроїв, через що доцільніше відновити систему з резервної копії. Наголошуємо, що у випадках інфікування системи, крім видалення ШПЗ або відновлення системи, потрібно змінити паролі та інші дані, що використовуються для автентифікації.

Що робити?

  • Встановити відображення електронних листів у форматі «звичайний текст», без вкладень чи активних елементів.
  • Одразу видаляти підозрілі листи, не переходити за невідомими посиланнями.
  • Не завантажувати та не запускати додатки з листів, які ви не очікували отримати.
  • Перевіряти підозрілі файли на VirusTotal.
  • Не встановлюйте програмне забезпечення з невідомих чи неперевірених ресурсів.

Корисні посилання: 

  • Основні правила кібергігієни

https://cert.gov.ua/recommendations/21

  •  Як розпізнати фейк?

https://cert.gov.ua/recommendations/22

  • Загальні рекомендації Державного центру кіберзахисту та протидії кіберзагрозам Держспецзв’язку для підвищення рівня захисту інформаційних ресурсів та систем і для запобігання кіберінцидентам в установах, на підприємствах і в організаціях.

https://cert.gov.ua/files/pdf/Rec0301.pdf

  • Служба, що перевіряє підозрілі файли та полегшує швидке виявлення вірусів, черв'яків, троянів і всіх видів шкідливих програм, визначуваних антивірусами.

https://www.virustotal.com/

Хеш-значення деяких шкідливих файлів: 

2b35aa9c70ef66197abfb9bc409952897f9f70818633ab43da85b3825b256307    –  Corona-virus-Map.com.exe   

f195f28ad0823fd6430b8999fb112bbecba81538b7eb28b88d0925ea4e8e5c95    –  CoronaMap (AZORult Trojan)

63fcf6b19ac3a6a232075f65b4b58d69cfd4e7f396f573d4da46aaf210f82564        –  CoronaMap (AZORult Trojan)

За матеріалами CERT-UA 

Календар бухгал­тера
06.04.20

Звіт про товарооборот торгової мережі за березень 2020 року (форма № 1-торг (місячна))

Звіт про обсяг оптового товарообороту за березень 2020 року (форма № 1-опт (місячна))

07.04.20

Звіт з праці за березень 2020 року (форма № 1-ПВ (місячна))

Звіт з праці за І квартал 2020 року (форма № 1-ПВ (квартальна))

09.04.20

Звіт по заборгованості страхувальника зі сплати страхових коштів до ФСС за І квартал 2020 року

Звіт про обсяги виробництва та реалізації спирту (форма № 1-РС) за березень 2020 року

Звіт про обсяги виробництва та реалізації алкогольних напоїв (форма № 2-РС) за березень 2020 року

Вверх
Закрыть
Замовити зворотній дзвінок
Буде виконано оформлення передплати на обране видання
Телефон
Оформити
Повернутися
Закрыть
Вибачте, на обраний вами період передплата не здійснюється. Для того щоб задати своє питання телефонуйте на наші контактні телефони або скористайтеся формою зворотного зв'язку