+11 голос |
Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA отримала інформацію від фахівців MIL.CERT-UA щодо виявлення низки вебресурсів, які імітують офіційну сторінку застосунку «Армія+» та опубліковані за допомогою сервісу Cloudlfare Workers.
У випадку відвідування згаданих вебсайтів користувачеві пропонується завантажити виконуваний файл з назвою на кшталт «ArmyPlusInstaller-v.0.10.23722.exe», який є інсталятором, створеним за допомогою NSIS (Nullsoft Scriptable Install System), та окрім .NET файлу-приманки «ArmyPlus.exe», містить файли інтерпретатору Python, архів з файлами програми Tor, а також PowerShell-скрипт «init.ps1».
Таким чином в разі відкриття файлу «ArmyPlusInstaller-v.0.10.23722.exe» буде здійснено запуск файлу-приманки, а також PowerShell-скрипта, призначенням якого є: встановлення на ЕОМ жертви OpenSSH-серверу; генерація пари RSA-ключів; додавання публічного ключа до файлу «authorized_keys» для автентифікації; відправка приватного ключа за допомогою «curl» на сервер зловмисників (TOR-адреса); публікація прихованого SSH-сервісу за допомогою Tor. В такий спосіб створюється технічна можливість для віддаленого прихованого доступу до комп'ютера жертви. Завдяки чому надалі зловмисники можуть розвивати кібератаку на інформаційно-комунікаційну систему організації.
Комп’ютерний розум: генеративний штучний інтелект у рішеннях AWS
+11 голос |