Хакери підробляють листи про полонених з Курського напрямку для кібератак

Урядова команда CERT-UA виявила нові кібератаки, пов’язані з темою військовополонених з Курського напрямку. Хакери розповсюджують електронні листи з шкідливими програмами, що викрадають дані з комп’ютерів жертв.

Про це повідомляє Державна служба спеціального звʼязку та захисту інформації України.

CERT-UA, яка діє у складі Держспецзв'язку, зафіксувала серію кібератак із використанням електронних листів на тему військовополонених. Шкідливі повідомлення містять фотографії, що імітують зображення нібито військовополонених, а також посилання на архів «spysok_kursk.zip». В архіві розташований файл з розширенням CHM під назвою «список вп, що вибувають. курск».

Підписуйтеся на наші соцмережі

Читайте також: Як посилити кіберзахист: практичні поради для вашого бізнесу.

Відкриття цього файлу призводить до завантаження двох шкідливих програм: вже відомої шпигунської SPECTR та нової — FIRMACHAGENT. Остання призначена для викрадення даних та їх передачі на сервер зловмисників.

CERT-UA заявляє, що за атакою стоїть угруповання UAC-0020 (Vermin), пов’язане із силовими структурами тимчасово окупованого Луганська.

Для захисту від таких загроз експерти рекомендують обмежити права облікових записів користувачів, видаливши їх із групи «Administrators», та застосувати політики SRP/AppLocker для блокування запуску файлів із розширенням CHM та powershell.exe.

Читайте також: Основні види кібератак і як від них захиститися. Експлейнер від «Кіберакселератора».