Cyberbezpieczeństwo
Malware na Ukrainie. Wiadomości ze skryptami zamiast rachunków
Autor. James Hills/Pixabay
Zidentyfikowano nową kampanię malware skierowaną przeciwko Ukraińcom. Ukraiński CERT wskazuje, że pozyskane w jej wyniku dane mogą zostać wykorzystane np. do szantażu. Same ataki mają trwać od sierpnia.
Cyberataki na Ukrainie są nieustannym problemem. Co kilkanaście dni pojawiają się ostrzeżenia o kolejnych operacjach prowadzonych przez aktorów zagrożeń w celu uzyskania danych osobowych oraz wrażliwych plików.
W ostatnich tygodniach dwukrotnie można było usłyszeć o działaniach cyberprzestępców u naszego sąsiada, a także walce z nimi. Jak opisywaliśmy, w drugim tygodniu października ukraińskim służbom udało się aresztować osobę odpowiedzialną za przeprowadzanie ataków w Europie. Z kolei na początku II połowy miesiąca cyberprzestępcy próbowali wykradać dane z urządzeń ukraińskich poborowych, podszywając się pod rządową aplikację.
Czytaj też
Nowa kampania malware na Ukrainie
Tymczasem, jak poinformował zespół CERT-UA przy Państwowej Służbie Łączności Specjalnej i Ochrony Informacji Ukrainy (SSSCIP), w ostatnich dniach wykryto kolejną operację mającą na celu wykradanie danych użytkowników. Jest to phishing, a sposób działania wygląda podobnie do poprzednich przypadków.
Według informacji Ukraińców, atakujący wysyłają do potencjalnych ofiar wiadomości e-mail, które mają wyglądać na powiązane z rachunkami. Każda z nich zawiera link prowadzący do dysku w chmurze, na którym znajduje się archiwum w formacie .rar. Zawiera ono trzy pliki: „Kontrakt” w formacie .doc, „Rachunek” w formacie .xlsx oraz „Hasło” w postaci skryptu .vbs.
Czytaj też
Plik z hasłem? Nie, to skrypt wykradający dane
Zarówno dokument, jak i arkusz kalkulacyjny są zabezpieczone hasłem, co skłania odbiorcę wiadomości do otwarcia pliku .vbs. Powoduje to jednak uruchomienie znajdującego się tam skryptu, który przeszukuje dysk pod kątem dokumentów, bądź archiwów do 10 MB.
Jeżeli jakieś pliki zostaną znalezione na zaatakowanym sprzęcie, to skrypt przesyła je na serwer określony w pliku .vbs przez atakującego. Przekazywana jest również pełna ścieżka znalezionego pliku. Według ekspertów, możliwa jest również praca z serwerem proxy. Cała operacja ma z kolei trwać od sierpnia br. – na to wskazuje data rejestracji adresu domeny znalezionego w pliku .vbs.
CERT-UA ostrzega, że za pomocą tego ataku możliwe jest uzyskanie przez przestępców dostępu do wrażliwych danych osobowych, bądź finansowych. Gdy wejdą w ich posiadanie, mogą je wykorzystać do szantażu lub dalszych ataków.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
