В Україні нова хвиля вірусної атаки: знову використовують бухгалтерське ПЗ
Опубликованно 05.11.2017 01:08
Згідно прес-релізу компанії, при моніторингу вірусної активності була виявлена розсилка, в якій був ідентифікований цікавий зразок. Файл з назвою "док.zip" завантажується разом з отриманим електронним листом, який відкриває жертва, і є текстовим файлом зі скриптом на мові JavaScript. Скрипт є завантажувачем. Його основне завдання — завантажити і запустити виконуваний файл (модуль) load.exe, який стає вікном для зловмисників.
"Цей шкідливий файл збирає інформацію про комп'ютері жертви і відправляє її на командні центри зловмисників. Паралельно з цим даний файл чекає вказівок від зловмисників і чекає команду на установку додаткових модулів, які перетворять комп'ютер жертви в бажаний для хакерів", — повідомив керівник ISSP Labs Олексій Ясинський.
У прес-релізі наголошується, що згідно публічної інформації, cfm.com.ua — сайт програмного комплексу бухгалтерського обліку Crystal Finance Millennium. Імовірно, зловмисники використовували уразливості сайту для розміщення там шкідливих файлів, або це результат атаки NotPetya 27 червня (зловмисники залишили для себе можливість несанкціонованого входу і тепер їм скористалися).
Компанія рекомендує тимчасово заблокувати на файерволах ip-адреси та посилання, зазначені в звіті.
"Після NotPetya 27 червня ще далеко не все відновили свої інфраструктури, не кажучи вже про їх очищення від присутності хакерів. Тому будь-яка компанія може бути як плацдармом, так і метою атаки", — додав глава ради директорів ISSP Олег Дерев'янко.
Крім іншого глава наглядової ради "Октава Капітал" Олександр Кардаков написав, що вчора у компанію надійшли повідомлення про масові поштових розсилках, що містять шкідливий код, як правило, в одному з архівних форматів: ARJ, ZIP, 7-ZIP і ін.
"Вранці наша система захисту електронної пошти перехопила подібні повідомлення з вкладенням 7-ZIP, маскирующимися під вкладені рахунки. Вміст аналізується, але вже ясно, що воно містить активну частину, яка намагається встановити інтернет-з'єднання", — зазначив він.
Серед рекомендацій для користувачів він назвав видалення листів з архівними вкладеннями з незнайомих і неперевірених адрес, не відкриваючи їх.
"Якщо у вас MS Outlook і MS Exchange, не відкривайте файли безпосередньо в додатках MS Office, обов'язково користуйтеся засобами попереднього перегляду вмісту файлу. Якщо ви системний адміністратор, налаштуйте вашу поштову систему на переміщення підозрілих вкладень в карантин з подальшим поглибленим скануванням. Принаймні, до 28 серпня", — резюмував А. Кардаков.
Раніше Служба безпеки України попередила про можливу нову кібератаки на мережі українських установ та підприємств, у зв'язку з чим закликає дотримуватися розроблені рекомендації.
"27 червня цього року Україна зазнала масштабної кібератаці з використанням шкідливого програмного забезпечення, ідентифікованого як комп'ютерний вірус Petya. При аналізі наслідків і передумов цієї атаки було встановлено, що їй передував збір даних про підприємства України ... з подальшим їх знищенням файлів cookies і відправкою на командний сервер. Фахівці СБУ припускають, що саме ця інформація і була метою першої хвилі кібератаки і може бути використана справжніми ініціаторами як для проведення киберразведки, так і в цілях подальших деструктивних акцій", — зазначили в СБУ.
Категория: Автотехника