Російські хакери масово надсилають українцям електронні листи, які містять у собі шкідливі програми. Мета викрасти дані. Про це повідомляється на сайті Держспецзв’язку.
Фахівці зафіксували масову розсилку електронних листів із темою «остаточний платіж». Лист містить однойменне вкладення у вигляді TGZ-архіву, який, у свою чергу, містить EXE-файл, класифікований як .Net-даунлоадер RelicRace. Його використовують для завантаження, декодування і запуску в пам’яті шкідливої.Net-програми RelicSource.
Індикатори компрометації
Файли:
Мережеві:
«RelicSource функціонально є інсталятором, що забезпечує дешифрування даних, що зберігаються в ресурсах (можливі варіанти: XOR/DES/DES3/AES/ARC2) і запуск отриманого пейлоада. Передбачено кілька способів забезпечення персистентності, імплементовані техніки антианалізу, а також відправка нотифікацій в Telegram та інше», – йдеться в повідомленні CERT-UA.
За допомогою даного файлу хакери можуть вкрасти інформацію про користувача.
Атаку пов’язують із угрупованням UAC-0041 (російські хактивісти).
ФОТО – ІТ-Пром
Читайте також: