Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA 21.07.2023 та 24.07.2023 зафіксовано чергові атаки угрупування UAC-0006 із застосуванням шкідливої програми SmokeLoader.
При цьому, зловмисники застосовують ZIP-поліглот, доступний користувачеві вміст якого залежатиме від програми-архіватора, за допомогою якого цей архів відкрито. У разі застосування WinRAR згаданий ZIP-поліглот міститиме ZIP-архів з розширенням “.pdf”, в якому знаходитимуться JavaScript-файли (21.07.2023) або ZIP-архів із розширенням “.docx” (24.07.2023), що містить виконуваний файл “Pax_ipn_18.07.2023p.jpg”, JavaScript-завантажувач “2.Витяг з реeстру вiд 24.07.2023р_Код документа 9312-0580-6944-3255.xls.js” та SFX-архів “1.Платiжна iнструкцiя iпн та вытяг з реестру Код документа 9312-0580-6944-3255.exe” з файлом-приманкою “document_payment.docx” (копія “Платiжна iнструкцiя Приват_банк.docx”) та BAT-скриптом “passport.bat”, призначеним для запуску “Pax_ipn_18.07.2023p.jpg”, що є копією завантажуваного “weboffice.exe”.
Враховуючи розмір ботмережі (більше 1000 комп’ютерів), можна стверджувати, що для масового розповсюдження електронних листів застосовуються скомпрометовані автентифікаційні дані, отримані з вже уражених ЕОМ.
Поновлена активність згаданого угрупування призведе до підвищення кількості випадків шахрайства з використанням систем дистанційного банківського обслуговування.
Керівникам підприємств і/або безпосередньо бухгалтерам наголошуємо на необхідності убезпечення автоматизованих робочих місць, призначених для формування, підписання та відправки платежів шляхом застосування програмних засобів захисту, обмеження можливості запуску раніше згаданих штатних утиліт (wscript.exe, cscript.exe, powershell.exe, mshta.exe) та фільтрації вихідних інформаційних потоків.