Письма по теме "Задолженность по контракту Киевстар" содержат вложения в виде архивированных файлов с названием "Задолженность абонента.zip". CERT-UA обратил внимание на использование защищенных паролем RAR-архивов в этих вложениях. При открытии архива запускается последовательность файлов, завершающаяся активацией программы удаленного доступа RemcosRAT.
Смотрите также В Киевстаре рассказали, в каком состоянии сейчас оборудование компании
Вредная кампания не ограничивается фальшивыми долговыми требованиями. CERT-UA также нашел электронные письма с темой "Запрос СБУ", содержащие вложения типа "Документы.zip". Эти вложения содержат защищенные паролем RAR-архивы с названием "Request.rar", которые при открытии приводят к инсталляции программы удаленного управления RemcosRAT.
Опасность реальна
Госспецсвязи отмечает, что это не первый случай, когда группа ОАК-0050 применяет такую тактику. В предыдущих случаях киберпреступники выдавали себя за официальные учреждения, такие как:
- Государственная служба по чрезвычайным ситуациям,
- пресс-служба Генерального штаба Вооруженных Сил Украины,
- Служба безопасности Украины,
- Госспецсвязи.
Читайте на сайте Остановили работу российских бизнес-гигантов: ИТ-Армия положила Битрикс24
Украинцев призывают быть осторожными и не поддаваться на подозрительные электронные письма, особенно те, что связаны с текущими проблемами с Киевстар. CERT-UA советует внедрять строгие меры безопасности и воздерживаться от открытия вложений или перехода по ссылкам из неизвестных или непроверенных источников.