Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA попереджає про розповсюдження небезпечного файлу з назвою «Доповідь0507224.ppt». Файл містить зображення-мініатюру, на якій згадується оперативне командування «Південь».
Як повідомляють на сайті CERT-UA, у випадку відкриття документа та активації макросу, він забезпечить створення файлів «gksg023ig.lnk» та «sgegkseg23mjl.exe». Також – виконання LNK-файлу за допомогою rundll32.exe, що призведе до запуску згаданого EXE-файлу.
Виконуваний файл є .NET-програмою, обфускованою за допомогою ConfuserEx, що здійснює завантаження JPEG-файлу «thumb_d_F3D14F4982A256B5CDAE9BD579429AE7.jpg», пошук відповідного офсету, дешифрування та декомпресію даних і запуск отриманої в результаті .NET-програми MCMDiction.exe (дата компіляції: 2022-07-08), – йдеться на сайті.
Після ряду перетворень (Gzip, AES, base64, XOR) із застосуваннями стеганографії, на комп’ютері виконається шкідлива програма-стілер AgentTesla (дата компіляції: 2022-07-06).
Зважаючи на ім’я та контент-приманку PPT-документу, припускаємо, що атаку було спрямовано на державні організації України, – додають на сайті.
Ілюстративне фото – https://armyinform.com.ua/, фото – сайт CERT-UA
Дякуємо!
Тепер редактори знають.