Листи з темою "Заборгованість за контрактом Київстар" містять вкладення у вигляді архівованих файлів з назвою "Заборгованість абонента.zip". CERT-UA звернув увагу на використання захищених паролем RAR-архівів у цих вкладеннях. При відкритті архіву запускається послідовність файлів, що завершується активацією програми віддаленого доступу RemcosRAT.
Дивіться також У Київстарі розповіли, в якому стані зараз обладнання компанії
Шкідлива кампанія не обмежується фальшивими борговими вимогами. CERT-UA також виявив електронні листи з темою "Запит СБУ", що містять вкладення типу "Документи.zip". Ці вкладення містять захищені паролем RAR-архіви з назвою "Request.rar", які при відкритті призводять до інсталяції програми віддаленого управління RemcosRAT.
Небезпека реальна
Держспецзв'язку наголошує, що це не перший випадок, коли група "ОАК-0050" застосовує таку тактику. У попередніх випадках кіберзлочинці видавали себе за офіційні установи, такі як:
- Державна служба з надзвичайних ситуацій,
- прес-служба Генерального штабу Збройних Сил України,
- Служба безпеки України,
- Держспецзв'язку.
Читайте на сайті Зупинили роботу російських бізнес-гігантів: ІТ-Армія поклала Бітрікс24
Українців закликають бути обережними та не піддаватися на підозрілі електронні листи, особливо ті, що пов'язані з поточними проблемами з Київстар. CERT-UA радить впроваджувати суворі заходи безпеки та утримуватися від відкриття вкладень або переходу за посиланнями з невідомих або неперевірених джерел.