Reklama

Cyberbezpieczeństwo

Malware na Ukrainie. Wiadomości ze skryptami zamiast rachunków

Ukraiński zespół CERT poinformował o wykryciu kampanii malware mającej na celu kradzież danych z komputerów. Czym się charakteryzuje?
Ukraiński zespół CERT poinformował o wykryciu kampanii malware mającej na celu kradzież danych z komputerów. Czym się charakteryzuje?
Autor. James Hills/Pixabay

Zidentyfikowano nową kampanię malware skierowaną przeciwko Ukraińcom. Ukraiński CERT wskazuje, że pozyskane w jej wyniku dane mogą zostać wykorzystane np. do szantażu. Same ataki mają trwać od sierpnia.

Cyberataki na Ukrainie są nieustannym problemem. Co kilkanaście dni pojawiają się ostrzeżenia o kolejnych operacjach prowadzonych przez aktorów zagrożeń w celu uzyskania danych osobowych oraz wrażliwych plików.

W ostatnich tygodniach dwukrotnie można było usłyszeć o działaniach cyberprzestępców u naszego sąsiada, a także walce z nimi. Jak opisywaliśmy, w drugim tygodniu października ukraińskim służbom udało się aresztować osobę odpowiedzialną za przeprowadzanie ataków w Europie. Z kolei na początku II połowy miesiąca cyberprzestępcy próbowali wykradać dane z urządzeń ukraińskich poborowych, podszywając się pod rządową aplikację.

Czytaj też

Reklama

Nowa kampania malware na Ukrainie

Tymczasem, jak poinformował zespół CERT-UA przy Państwowej Służbie Łączności Specjalnej i Ochrony Informacji Ukrainy (SSSCIP), w ostatnich dniach wykryto kolejną operację mającą na celu wykradanie danych użytkowników. Jest to phishing, a sposób działania wygląda podobnie do poprzednich przypadków.

Według informacji Ukraińców, atakujący wysyłają do potencjalnych ofiar wiadomości e-mail, które mają wyglądać na powiązane z rachunkami. Każda z nich zawiera link prowadzący do dysku w chmurze, na którym znajduje się archiwum w formacie .rar. Zawiera ono trzy pliki: „Kontrakt” w formacie .doc, „Rachunek” w formacie .xlsx oraz „Hasło” w postaci skryptu .vbs. 

Czytaj też

Reklama

Plik z hasłem? Nie, to skrypt wykradający dane

Zarówno dokument, jak i arkusz kalkulacyjny są zabezpieczone hasłem, co skłania odbiorcę wiadomości do otwarcia pliku .vbs. Powoduje to jednak uruchomienie znajdującego się tam skryptu, który przeszukuje dysk pod kątem dokumentów, bądź archiwów do 10 MB. 

Jeżeli jakieś pliki zostaną znalezione na zaatakowanym sprzęcie, to skrypt przesyła je na serwer określony w pliku .vbs przez atakującego. Przekazywana jest również pełna ścieżka znalezionego pliku. Według ekspertów, możliwa jest również praca z serwerem proxy. Cała operacja ma z kolei trwać od sierpnia br. – na to wskazuje data rejestracji adresu domeny znalezionego w pliku .vbs.

CERT-UA ostrzega, że za pomocą tego ataku możliwe jest uzyskanie przez przestępców dostępu do wrażliwych danych osobowych, bądź finansowych. Gdy wejdą w ich posiadanie, mogą je wykorzystać do szantażu lub dalszych ataków.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama

Haertle: Każdego da się zhakować

Materiał sponsorowany

Komentarze

    Reklama