CERT-UA зафіксувала масові розсилання небезпечних листів

0
469 views
CERT-UA зафіксувала масові розсилання небезпечних листів

Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA з 19.07.2022 фіксуються факти масового розсилання електронних листів з темою “Остаточний платіж” та одноіменним вкладенням у вигляді TGZ-архіву.

 CERT-UA зафіксувала масові розсилання небезпечних листів

Архів містить EXE-файл, що класифіковано як .NET-даунлоадер RelicRace, призначений для завантаження (здебільшого з OneDrive), декодування та запуску в пам’яті шкідливої .NET-програми RelicSource.

RelicSource функціонально є інсталятором, що забезпечує дешифрування даних, які зберігаються в ресурсах (можливі варіанти: XOR/DES/DES3/AES/ARC2) та запуск (в т.ч. шляхом інжектування) отриманого пейлоаду. Передбачено декілька способів забезпечення персистентності, імплементовано техніки антианалізу (виявлення VM), а також відправка нотифікацій до Telegram та інше.

Як пейлоад використовуються програми-стілери, а саме: Formbook та Snake Keylogger (ексфільтрація за допомогою API Telegram).

Активність має систематичний, масовий та географічно розосереджений характер і відстежується за ідентифікатором UAC-0041, кажуть у CERT-UA.