Урядова команда реагування на комп’ютерні надзвичайні події України зафіксувала масові розсилання електронних листів зі шкідливим програмним забезпеченням. Темою листів значиться “Остаточний платіж”.

Про це повідомляють на сайті урядової команди CERT-UA.

Вказано, що факти масового розсилання електронних листів з темою “Остаточний платіж” та однойменним вкладенням у вигляді TGZ-архіву фіксувалися з 19 липня.

Підкреслено, що така активність має систематичний, масовий та географічно розосереджений характер і відстежується за ідентифікатором UAC-0041 (назва угрупування російських хактивістів – авт.).

– Архів містить EXE-файл, що класифіковано як .NET-даунлоадер RelicRace, призначений для завантаження (здебільшого з OneDrive), декодування та запуску в пам’яті шкідливої .NET-програми RelicSource.

RelicSource функціонально є інсталятором, що забезпечує дешифрування даних, які зберігаються в ресурсах (можливі варіанти: XOR/DES/DES3/AES/ARC2) та запуск (в т.ч. шляхом інжектування) отриманого пейлоаду. Передбачено декілька способів забезпечення персистентності, імплементовано техніки антианалізу (виявлення VM), а також відправка нотифікацій до Telegram та інше, – йдеться в повідомленні.

Скріншот – cert.gov.ua, головне ілюстративне фото – GQ

Читайте також: В Україні зафіксували нову кібератаку з використанням шкідливої програми-викрадача інформації

В'ячеслав Луцков

See Full Bio