| 0 |
|
Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA від суб'єкту координації отримано електронний лист з темою "Volodymyr Zelenskyy presented the Golden Star Orders to servicemen of the Armed Forces of Ukraine and members of the families of the fallen Heroes of Ukraine" та декількома графічними зображеннями.
За результатами дослідження з'ясовано, що заголовок листа "Content-Location" містить JavaScript-код, виконання якого призведе до завантаження і виконання іншого JavaScript-коду. Призначення останнього - додавання до конфігурації облікового запису електронної пошти жертви сторонньої електронної адреси з метою подальшого пересилання на неї електронних листів користувача.
Технічна можливість реалізації описаної загрози класифікована за ідентифікатором CVE-2018-6882 як XSS (Cross-Site Scripting) вразливість в Zimbra Collaboration Suite (< 8.7 Patch 1, 8.8.x < 8.8.7).
Виявлена активність, зважаючи на тему, вміст, додатки до листа, а також отримувачів, носить цільовий характер та відстежуватиметься за ідентифікатором UAC-0097.
Також виявлено факт масового розповсюдження серед громадян України XLS-документів з назвою "Мобілізаційний реєстр.xls".
З'ясовано, що у разі відкриття документу та активації макросу, останній забезпечить завантаження і запуск виконуваного файлу. Завантажений EXE-файл забезпечить дешифрування та запуск на комп'ютері шкідливої програми GzipLoader, яка, в свою чергу, здійснить завантаження, дешифрування та запуск шкідливої програми IcedID. Згадана шкідлива програма (також відома як BankBot) відноситься до класу "банківських троянських програм", та, серед іншого, забезпечує викрадення автентифікаційних даних.
З помірним рівнем впевненості виявлену активність асоціюють з діяльністю групи UAC-0041.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
