Для своїх цілей хакери використовують декілька видів шкідливого програмного забезпечення і можуть представлятись працівниками державних органів для підвищення довіри.

Зловмисники надсилають електронний лист із вкладенням у вигляді ZIP-файлу, що містить PDF-документ з посиланням. Жертві пропонується перейти за посиланням, щоб нібито «завантажити відсутні шрифти».

При переході за посиланням на комп’ютер жертви завантажується файл «adobe_acrobat_fonts_pack.exe», що є насправді шкідливою програмою GLUEEGG, призначеною для дешифрування та запуск завантажувача DROPCLUE.

DROPCLUE здійснює завантаження та відкриття на комп’ютері двох файлів: файлу-приманки у форматі PDF, а також EXE-файлу «font-pack-pdf-windows-64-bit», який в кінцевому результаті забезпечує завантаження та встановлення легітимної програми для віддаленого управління ATERA.

В результаті, зловмисники отримують можливість несанкціонованого доступу до комп’ютера жертви.

Будьте пильними, навіть якщо відправник листа представляється державним працівником.

Не завантажуйте і не відкривайте підозрілі файли.

Звертайтеся до CERT-UA, якщо підозрюєте, що могли стати жертвами атаки:

incidents@cert.gov.ua,

 моб. +38 (044) 281-88-25.

 Ворожа активність відстежується за ідентифікатором UAC-0180. Це угруповання активно атакує співробітників оборонних підприємств та Сил оборони України, постійно оновлюючи арсенал різноманітних шкідливих програм, але їх зловмисна діяльність не обмежується Україною, повідомляють в Держспецзв’язку.

Не забудьте підписатись на наш телеграм-канал. Там ще більше оперативної інформації!