Украину сотрясла новая кибератака через бухгалтерское ПО Crystal Finance Millennium
Специалисты ISSP Labs 22 августа зафиксировали начало новой волны кибератак с использованием официального сайта компании по разработке комплекса бухгалтерского учета Crystal Finance Millennium.
Об этом сообщают в компании ISSP, передает Liga.net.
Crystal Finance Millennium
"При мониторинге вирусной активности была обнаружена рассылка, в которой был идентифицирован интересный образец. Файл с названием "док.zip" загружается вместе с полученным электронным письмом, которое открывает жертва, и является текстовым файлом со скриптом на языке JavaScript", - сообщают эксперты ISSP.
Скрипт является загрузчиком, основная задача которого скачать и запустить исполняемый файл load.exe, который становится окном для злоумышленников.
Вредоносный файл собирает информацию о компьютере жертвы и отправляет ее на командные центры злоумышленников. Этот же файл ждет инструкций от злоумышленников на установку дополнительных модулей.
Они превращают компьютер жертвы в желаемый для хакеров ресурс (это может быть бэкдор, через который злоумышленники могут проникать в инфраструктуру, минуя средства защиты; кейлогер, который будет собирать информацию о нажатых клавишах и отправлять ее командным центрам; сканнер, который будет собирать информацию о захватываемой инфраструктуре и много другое).
"Вероятно, злоумышленники использовали уязвимости сайта для размещения там вредоносных файлов, либо это результат атаки NotPetya 27.06.2017. Так что возможно это первая "ласточка" подготовки полномасштабной кибератаки перед праздниками", - сообщают эксперты ISSP Labs.
Кибератака в Украине 22.08.2017
Ранее, о возможной массированной хакерской атаки сообщал и глава наблюдательного совета Octava Capital Александр Кардаков в Facebook.
"В течение последних двух часов нам поступают сообщения о массовых почтовых рассылках, содержащих вредоносный код, как правило, в одном из архивных форматов: ARJ, ZIP, 7-ZIP и др. Утром наша система защиты электронной почты перехватила подобные сообщения с вложением 7-ZIP , маскирующимся под вложенные счета. Содержание сейчас анализируется, но уже ясно, что оно содержит активную часть, которая пытается установить интернет-соединение ", - говорится в сообщении.
В своем сообщении Кардаков также дает рекомендации для пользователей, столкнувшихся с этой проблемой: удалять все письма с архивными вложениями с незнакомых и непроверенных адресов, не открывая их, пользователям MS Outlook и MS Exchange рекомендуют не открывать файлы непосредственно в приложениях MS Office и обязательно пользоваться средствами предварительного просмотра содержимого файла.
R & D-директор компании "ИТ-Интегратор" Владимир Кург также на своей странице написал о возможной атаке.
"От наших партнеров примерно с 10:30 приходят сообщения о фишинг-рассылках с вложениями в 7zip. Примерно в это время приехало и к нам, содержание тела - просьба посмотреть счета во вложении, перехвачено на внешнем шлюзе", - отмечает он.
Напомним, команда CERT-UA сообщала о возможной кибератаке на информационные ресурсы Украины на День Независимости 24 августа.
НБУ также предупреждал о возможной атаке через программу MS Word.
Как известно, 27 июня ряд украинских компаний и банков подверглись хакерским атакам от вируса Petya.
Вирус шифровал файлы на зараженном компьютере и выводил на экране сообщение с требованием перевести на указанный кошелек сумму в биткоинах, эквивалентную 300 долларам.
Напомним, более 40 компаний заплатили вирусу, но так и не получили ключ для дешифровки файлов.