27 липня 2024 р. 10:54
Вірус, що атакував одеситів через адреси держустанов, може бути зброєю російських хакерів
652
Фотоколаж: Інтент
Електронні листи з вірусом, які останнім часом отримують журналісти та громадські діячі в Одеській області з ніби-то електронних адрес Одеської міської ради чи державних установ, можуть бути інструментом спонсорованої російськими спецслужбами хакерської групи Gamaredon (UNC530).
Про це повідомили експерти Лабораторії цифрової безпеки, яким нещодавно Інтент спрямував на експертизу такий лист, що надійшов на адресу редакції.
Вони зазначили, що у відкритому доступі знайшли аналогічні повідомлення зі шкідливим файлом. Зокрема, про це повідомили на ресурсах компаній Strike Ready, LevelBlue і Dark Atlas.
"Детальний аналіз дав змогу побачити багатокрокову фішингову схему і її російський слід. Отже, що ми бачимо? Лист нібито від Департаменту економічного розвитку Одеської міської ради, електронна адреса відправника виглядає достовірно, відсутні граматичні помилки, але є коротке повідомлення і навіть підпис. Враховуючи, що людина, яка отримала цей лист, є громадським діячем в Одесі, то все виглядає цілком логічно. Оскільки ми вже знаємо, що це був фішинг, то виникають питання щодо електронної адреси відправника. У фішингових листах ми зазвичай бачимо два найпоширеніші варіанти маніпуляцій з полем відправника: підміна адреси в заголовку листа або компрометація поштового сервера. На жаль, не маючи оригіналу листа, який містить всі технічні деталі, ми не могли остаточно перевірити це", - зазначили в Цифролабі.
Експерти наголосили, що в такому випадку найбільше підозр викликає саме вкладений файл "Для_реагування_і_вжиття_заходів.xhtml". Файли з таким розширенням, як зазначають експерти, за замовчуванням відкриваються браузером як збережена вебсторінка.
Після низки кроків експерти з'ясували, що шкідливий код був захований всередині інших, як у матрьошці. Через це на момент аналізу більшість антивірусів не виявляла шкідливу активність вкладеного файлу. Разом із тим автоматизовані системи аналізу теж не могли виявити підозрілу активність через те, що виконання коду зупинялось, очікуючи на рух курсора.
"Зловмисники застосували прості техніки для ускладнення виявлення, такі як: очікування на рух курсора, перевірка середовища запуску, приховування коду за допомогою маніпуляцій з текстом, відстеження запуску файлу, завантаження кінцевого шкідливого коду лише за умови, що перший спрацював. Також зловмисники ймовірно підмінили електронну адресу відправника, а також адаптували вміст і назви файлів, щоб виглядати довіреним відправником", - пояснили в Цифролабі.
Як зазначають експерти простої відповіді на те, як захиститись від таких атак немає. Тому, що хакери постійно змінюють свої техніки й підходи, а якісний кіберзахист потребує комплексного підходу, зокрема спеціалістів, інструментів і налагоджених процесів в організації, а в держустанов може просто не вистачати ресурсів.
"Те, що ви можете робити, — це з підозрою ставитися до подібних імейлів та повідомлень у месенджерах. Якщо отримали файл із незвичним розширенням або архів з паролем, а повідомлення при цьому спонукає вас до дії через залякування, краще будьте екстрапильними", - порадили експерти.
30 серпня 2024 р. 22:28
Інформація щодо заморожених собак у Миколаєві виявилась фейком22 серпня 2024 р. 17:58
Фейки, ворожі вкиди, пропаганда: про що пишуть тг-канали Півдня України14 серпня 2024 р. 21:31
Публічна дискусія "Інформаційна безпека "півострова" Бессарабія": яким є інфопростір Буджаку14 серпня 2024 р. 20:01
В бібліотеках Одеси створюють сучасні простори за грантові кошти14 серпня 2024 р. 08:51
Білоруська медійниця розповіла, як спецслужби зламують telegram-канали31 липня 2024 р. 18:32
Молдова поверне Україні біженців мобілізаційного віку: черговий фейк росіян30 липня 2024 р. 22:46
Фальшивий лист від розвідників: росіяни намагалися ошукати одеських журналістів20 липня 2024 р. 14:42
Одесити відчули можливе відлуння вірусного спаму від держустанов19 липня 2024 р. 10:02
Міненерго назвало інформацію про аварії на Південноукраїнській АЕС ворожою ІПСО: ситуація швидко стабілізується18 липня 2024 р. 18:59
Деколонізація Одеси: що місто може дати Україні та світу16 липня 2024 р. 22:35
Електронний вірус, що ховається в серверах держустанов, атакує одеситів07 липня 2024 р. 14:26
Експерти з'ясували, в яких темах журналісти Одещини досягли гендерного балансу05 липня 2024 р. 12:01
"Зональні" відключення світла: що заявили в Укренерго07 вересня 2024 р. 16:08
Одеське інтернет-видання відновило роботу після тижневої зупинки