Хакери знову розсилають небезпечні електронні листи українцям. Як маскуються цього разу?

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA повідомила про чергову масову розсилку небезпечних електронних листів. Цього разу з темою «Остаточний платіж», повідомляють у Держспецзв’язку.

Що сталося

Якщо ви думали, що хакери розслабилися і більше не загрожують українцям, то помилилися. Наприкінці червня ми писали, що зловмисники розсилають електронні листи від імені Державної податкової служби з темою «Повідомлення про несплату податку».

Тепер CERT-UA зафіксувала  масове розсилання електронних листів із темою «Остаточний платіж». У ньому  прикріплений однойменний TGZ-архів з EXE-файлом програми RelicRace. 

Остання призначена для завантаження, декодування та запуску RelicSource. Це так званий інсталятор, що забезпечує дешифрування даних, які зберігаються на ресурсах, та запуск отриманого пейлоаду. Тобто псує дані та/або краде конфіденційну інформацію. Зокрема цей пейлоад використовує інфостілер Formbook. Він може збирати облікові дані з браузерів, робити знімки екрана, відстежувати та реєструвати натискання клавіш, а також завантажувати та запускати файли.

Що ж із цим робити

«Попереджений — значить озброєний» — це правило прекрасно працює і у сфері кібербезпеки. Пам’ятайте про мережеву гігієну та не відкривайте підозрілі листи та архіви.