Команда реагирования на компьютерные чрезвычайные ситуации (CERT-UA) сообщила, что группа хакеров, известная как UAC-0006, ответственна за распространение электронных писем через скомпрометированные аккаунты. Письма содержат ZIP-архив, который после загрузки запускает исполняемый файл, устанавливающий вредоносное программное обеспечение SmokeLoader.
Читайте на сайте Украинские инженеры защищают 23 миллиона европейцев от киберугроз
Что известно о новой угрозе
Эта кампания кибератак началась в апреле 2023 года и финансово мотивирована. Группа UAC-0006 имеет историю финансово мотивированных кибератак, осуществленных с 2013 по июль 2021 года. Целью хакеров является скомпрометирование компьютеров бухгалтеров, используемых для поддержки финансовой деятельности, например, для доступа к системам дистанционного банковского обслуживания.
Получив доступ, они угоняют аутентификационные данные:
- логины,
- пароли,
- ключи/сертификаты.
Далее они производят несанкционированные платежи с помощью бота HVNC непосредственно со скомпрометированного компьютера.
Как защититься от таких атак?
Чтобы минимизировать ущерб от этих атак, рекомендуется временно заблокировать запуск wscript.exe (Windows Script Host) на компьютере. Это связано с тем, что группа UAC-0006 обычно использует JavaScript загрузчики. Блокировка запуска wscript.exe временно снижает шансы стать жертвой этого типа атаки.
Интересно Google запустил авторизацию без пароля: как это работает и как настроить
Использование мошеннических электронных писем с поддельными счетами и платежными требованиями является относительно новой тактикой для этой группы, и вполне вероятно, что они будут продолжать развивать свою тактику во избежание разоблачения. Крайне важно, чтобы физические и юридические лица не теряли бдительности и принимали меры по защите от подобных атак.