Зловмисники розсилають начебто від університету оборони PPT-документ, макрос з якого встановлює віруси

19 июнь, 2023 - 11:35

«Урядова команда реагування на комп'ютерні надзвичайні події України» CERT-UA виявила PPT-документ «daewdfq342r.ppt», що містить макрос та зображення-мініатюру з емблемою «Національного університету оборони України імені Івана Черняхівського».

У випадку відкриття документа та активації макросу на ЕОМ жертви буде створено виконуваний файл «%APPDATA%\Signal_update_6.0.3.4\glkgh90kjykjkl650kj0.dll», а також файл-ярлик, призначений для запуску останнього.

Файл «glkgh90kjykjkl650kj0.dll» класифіковано як шкідливу програму PicassoLoader, що типово використовується групою UAC-0057 (GhostWriter) та призначена для завантаження зображення, його дешифрування та запуску отриманого пейлоаду. При цьому, останнім часом замість AES застосовується RC4.

Сервери управління шкідливою програмою розміщено в російській федерації, проте, доменні імена «сховано» за Cloudflare.