CERT-UA попереджає про масове розповсюдження шкідливого ПЗ через фальшиві листи від імені СБУ ДПІ та ДПС
12 серпня 2024 року урядова команда реагування на комп’ютерні надзвичайні події України (CERT-UA) зафіксувала масштабну кампанію з розповсюдження електронних листів, що начебто надходять від імені Служби безпеки України та Державної податкової служби. Ці листи містять посилання на завантаження файлу з назвою “Документи.zip”.
Насправді, перехід за цим посиланням веде на домен gbshost.net та призводить до завантаження на комп’ютер MSI-файлу (наприклад, “Scan_docs#40562153.msi”), відкриття якого запускає шкідливу програму ANONVNC (MESHAGENT). Ця програма забезпечує прихований несанкціонований доступ до комп’ютера, що може призвести до серйозних наслідків для безпеки інформації.
Станом на 12:00 12 серпня 2024 року CERT-UA виявила більше 100 уражених комп’ютерів, серед яких є пристрої, що використовуються в державних органах та органах місцевого самоврядування України.
ANONVNC, як її називають розробники, використовує конфігураційний файл, ідентичний до конфігураційного файлу програми MESHAGENT, вихідний код якої доступний на GitHub. Це може свідчити про запозичення вихідного коду для створення шкідливої програми.
Ця кампанія відстежується під ідентифікатором UAC-0198, і пов’язані з нею кібератаки тривають з липня 2024 року. CERT-UA вживає невідкладних заходів для зменшення ризиків, пов’язаних з цією загрозою.
Користувачам рекомендується бути особливо обережними з отриманими електронними листами та уникати відкриття підозрілих файлів та посилань.