22 серпня фахівці ISSP Labs зафіксували початок нової хвилі кібератак з використанням офіційного сайту компанії з розробки комплексу бухгалтерського обліку Crystal Finance Millennium. Наразі сайт розробника деактивовано.
Про це повідомляє фахівець компанії ISSP Labs Петр Клименко на своїй сторінці у Facebook.
ISSP сообщает о новой волне вирусной атаки 22 августа 2017 года Специалисты ISSP Labs зафиксировали начало новой волны...
Опубликовано Петром Клименко 22 августа 2017 г.
«При моніторингу вірусної активності була виявлена розсилка, в якій був ідентифікований цікавий зразок. Файл з назвою «док.zip» завантажується разом з отриманим електронним листом, яке відкриває жертва, і є текстовим файлом з скриптом на мові JavaScript», – повідомляють експерти ISSP.
Скрипт є завантажувачем, основне завдання якого скачати і запустити виконуваний файл load.exe, який стає вікном для зловмисників.
Шкідливий файл збирає інформацію про комп'ютер жертви і відправляє її на командні центри зловмисників. Цей же файл чекає вказівок від зловмисників на установку додаткових модулів.
Вони перетворюють комп'ютер жертви в бажаний для хакерів ресурс (це може бути бекдор, через який зловмисники можуть проникати в інфраструктуру, минаючи засоби захисту; кейлогерам, який буде збирати інформацію про натиснутих клавішах і відправляти її командним центрам; сканер, який буде збирати інформацію про захоплюваної інфраструктурі і багато іншого).
«Ймовірно, зловмисники використовували уразливості сайту для розміщення там шкідливих файлів, або це результат атаки NotPetya 27.06.2017. Так що можливо це перша «ластівка» підготовки повномасштабної кібератаки перед святами», – повідомляють експерти ISSP Labs.
ВЧЕРАШНЯЯ ХАКЕРСКАЯ АТАКА: что это было? Как я сообщал, вчера прошла рассылка фишинговых писем, нацеленных на бухгалте...
Опубликовано Александром Кардаковым 23 августа 2017 г.
«За вчора і сьогодні ми виловили 14 листів 5 модифікацій (дві з них нові). Всі – розраховані на бухгалтерів-фінансистів. Мета – параліч комерційного сектора країни», – доповів голова наглядової ради Octava Capital Олександр Кардаков.
Нагадаємо, 22 серпня до підприємства «Octava Capital» надходили повідомлення про масові поштові розсилки, що містять шкідливий код, як правило в одному з архівних форматів: ARJ, ZIP, 7-ZIP і ін.
«Octava Capital» рекомендує видаляти листи з архівними вкладеннями з незнайомих і неперевірених адрес, не відкриваючи їх. Якщо у вас MS Outlook і MS Exchange, не розпаковувати файли безпосередньо у додатках MS Office, обов'язково використовувати засоби попереднього перегляду вмісту файлу.