Хакери підробляють листи про полонених з Курського напрямку для кібератак
Урядова команда CERT-UA виявила нові кібератаки, пов’язані з темою військовополонених з Курського напрямку. Хакери розповсюджують електронні листи з шкідливими програмами, що викрадають дані з комп’ютерів жертв.
Про це повідомляє Державна служба спеціального звʼязку та захисту інформації України.
CERT-UA, яка діє у складі Держспецзв'язку, зафіксувала серію кібератак із використанням електронних листів на тему військовополонених. Шкідливі повідомлення містять фотографії, що імітують зображення нібито військовополонених, а також посилання на архів «spysok_kursk.zip». В архіві розташований файл з розширенням CHM під назвою «список вп, що вибувають. курск».
Підписуйтеся на наші соцмережі
Відкриття цього файлу призводить до завантаження двох шкідливих програм: вже відомої шпигунської SPECTR та нової — FIRMACHAGENT. Остання призначена для викрадення даних та їх передачі на сервер зловмисників.
CERT-UA заявляє, що за атакою стоїть угруповання UAC-0020 (Vermin), пов’язане із силовими структурами тимчасово окупованого Луганська.
Для захисту від таких загроз експерти рекомендують обмежити права облікових записів користувачів, видаливши їх із групи «Administrators», та застосувати політики SRP/AppLocker для блокування запуску файлів із розширенням CHM та powershell.exe.