Хакери прикинулись СБУ й розсилають листи з програмою для віддаленого управління Remcos RAT

Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA виявлено факт масового розповсюдження електронних листів, начебто, від імені СБ України із вкладенням у вигляді RAR-файлу "Електронна вимога СБУ України.rar".

Згаданий архів містить ще один одноіменний архів в якому знаходиться черговий, захищений паролем RAR-файл "Вимога СБУ 543 від 13.11.2023.pdf.rar".

Останній містить виконуваний файл "Вимога СБУ 543 від 13.11.2023.pdf.exe" (дата компіляції: 2023-11-12 16:15:36), запуск якого призведе до встановлення на ЕОМ програми для віддаленого управління Remcos RAT (дата компіляції: 2023-09-07 10:23:27).

Персистентність Remcos RAT забезпечується шляхом створення запису в гілці Run реєстру операційної системи.

Конфігураційний файл містить 8 IP-адрес серверів управління, що функціонують на технічних потужностях компанії Shinjiru (Малайзія). Доменні імена зареєстровано 11.11.2023 через толерантну до кіберзлочинності російську компанію REG.RU (реклама від CERT-UA? - прим. ред.).

CERT-UA вжито невідкладних заходів з протидії кіберзагрозі.

Активність відстежується за ідентифікатором UAC-0050.

Детальніше на сайті CERT-UA


Друзі! Запрошуємо підписатися на наш канал "Кібербезпека важлива" в телеграмі: @cybersec2021. Слідкуй за публікаціями з сайту в своєму смартфоні.