Команда реагування на комп'ютерні надзвичайні ситуації (CERT-UA) повідомила, що група хакерів, відома як UAC-0006, відповідальна за розповсюдження електронних листів через скомпрометовані акаунти. Листи містять ZIP-архів, який після завантаження запускає виконуваний файл, що встановлює шкідливе програмне забезпечення SmokeLoader.
Читайте на сайті Українські інженери захищають 23 мільйони європейців від кіберзагроз
Що відомо про нову загрозу
Ця кампанія кібератак розпочалася у квітні 2023 року і є фінансово мотивованою. Група UAC-0006 має історію фінансово вмотивованих кібератак, які були здійснені з 2013 по липень 2021 року. Хакери мають на меті скомпрометувати комп'ютери бухгалтерів, які використовуються для підтримки фінансової діяльності, наприклад, для доступу до систем дистанційного банківського обслуговування.
Отримавши доступ, вони викрадають автентифікаційні дані:
- логіни,
- паролі,
- ключі/сертифікати.
Далі вони здійснюють несанкціоновані платежі за допомогою бота HVNC безпосередньо зі скомпрометованого комп'ютера.
Як захиститися від таких атак?
Щоб мінімізувати шкоду від цих атак, рекомендується тимчасово заблокувати запуск wscript.exe (Windows Script Host) на комп'ютері. Це пов'язано з тим, що група UAC-0006 зазвичай використовує завантажувачі JavaScript. Блокування запуску wscript.exe тимчасово знижує шанси стати жертвою цього типу атаки.
Цікаво Google запустив авторизацію без пароля: як це працює та як налаштувати
Використання шахрайських електронних листів з підробленими рахунками та платіжними вимогами є відносно новою тактикою для цієї групи, і цілком ймовірно, що вони продовжуватимуть розвивати свою тактику, щоб уникнути викриття. Вкрай важливо, щоб фізичні та юридичні особи не втрачали пильності та вживали заходів для захисту від подібних атак.