Кіберзлочинці маскуються під МЗС, СБУ та польську поліцію

Урядова команда реагування на комп’ютерні надзвичайні події України (CERT-UA) виявила вебсторінку, яка імітує офіційний вебресурс Міністерства закордонних справ України. На цій сторінці відвідувачам пропонують завантажити програмне забезпечення для виявлення «заражених комп’ютерів». Насправді ж під посиланням приховується шкідливе програмне забезпечення.

У разі переходу за посиланням на комп’ютер завантажується BAT-файл «Protector.bat». Його відкриття призведе до завантаження та запуску на комп’ютері PowerShell-скриптів, які здійснюють пошук файлів із розширеннями: .edb, .ems, .eme, .emz, .key, .pem, .ovpn, .bat, .cer, .p12, .cfg, .log, .txt, .pdf, .doc, .docx, .xls, .xlsx, .rdg у каталозі робочого столу, створюють знімки екрану та передають дані на сервер зловмисників.

У межах співпраці з CERT Polska та CSIRT MON (Республіка Польща) виявлені аналогічні фішингові ресурси, які імітують офіційні вебсторінки МЗС України, Служби безпеки України, а також Поліції Польщі. Слід зауважити, що в червні 2022 року подібна фішингова вебсторінка імітувала вебінтерфейс поштового серверу Міністерства оборони України. Згадана активність відстежується за ідентифікатором UAC-0114 (також відома як Winter Vivern).

Фахівці зазначають, що тактики, техніки та процедури, що використовуються групою, є доволі типовими: одноманітні PowerShell-скрипти, тема “сканерів шкідливих програм”. Крім того, високоймовірно, що до складу групи входять російськомовні учасники, адже одна з використовуваних шкідливих програм APERETIF (MD5: 3acfb7c694b259158fe042fd3392b0d1) містить доволі характерний рядок (PDB): “C:\Users\user_1\source\repos\Aperitivchick\Release\SystemProtector.pdb”.