CERT-UA получена информация о фишинговом сайте, который имитирует сайт Президента Украины (https://www.president.gov.ua/)

Фишинговый сайт:
hХХp: //president.gov.ua.administration.vakansiyi.administration.president.gov-ua [.] info /

Указанный фишинговый сайт используется для проведения кибератак и распространение вредоносных программ.

В фишинговом письме жертве предлагается ознакомиться со списком вакантных должностей и загрузить "Полный список высокооплачиваемых должностей" по ссылке.

По ссылке загружается файл 756285df0c8b81cf14ad3463a57d33ed.xll, который на самом деле является Windows 32-bit DLL file, после запуска которого на компьютере жертвы создаются вредоносные процессы и загружается по ссылке hХХp: // 1833 [.] Site / 0707a.exe (45.146.165.91 ) и запускается еще один вирусный .ехе файл - "0707a.exe"

Указанный файл запускается в системе, собирает информацию о конфигурации системы, такую ​​как конфигурацию сетевой карты, хостнейм и серийный номер жесткого диска.

Собирает информацию, принадлежащую пользователю, с оконечного устройства, включая все файлы с расширениями * .doc, * .pdf, * .ppt, * .dot, * .xl, * .csv, * .rtf, * .dot, * .mdb, * .accdb, * .pot, * .pps, * .ppa, * .7z, * .tar, * .rar, * .zip. Направляет их в командно-контрольного сервера 45.146.165.91:8080, на котором создается директория соответствующая хостнейму устройства.

Если вы получали письма с указанным фишинговым ссылке и особенно открывали указанный файл нужно немедленно проверить факт наличия указанных в индикаторах компрометации файлов на компьютере и удалить их.

Просим, ​​в случае выявления указанных писем, СРОЧНО сообщать CERT-UA на почту Ця електронна адреса захищена від спам-ботів. Вам необхідно увімкнути JavaScript, щоб побачити її., по телефону (044) -281-88-05 (044) -281-88-25 (044) -281-88 01 (круглосуточно) или с помощью формы на сайте https://cert.gov.ua/contact-us

Отделам администрирования и информационной безопасности нужно немедленно принять меры по выявлению соединений с сети организации к указанным в индикаторах компрометации IP-адресов и доменов с целью определения возможных фактов заражения.

Интернет-операторам рекомендуем заблокировать доступ к IP-адресов и доменов указанных в индикаторах компрометации.

Подробнее


Друзі! Запрошуємо підписатися на наш канал "Кібербезпека важлива" в телеграмі: @cybersec2021. Слідкуй за публікаціями з сайту в своєму смартфоні.