Мошенники маскируют атаки под сертификаты платформы Prometheus - как защититься
Группировка UAC-0057 рассылает фишинговые письма с PDF-файлами, ведущими к заражению Cobalt Strike. Что делать, чтобы не стать жертвой
Украинские госучреждения попали под новую волну кибератак - злоумышленники посылают фишинговые письма, замаскированные под сообщение образовательной платформы Prometheus об "успешном завершении курсов" и "сгенерированном сертификате". Похожие схемы социальной инженерии, когда мошенники выдают себя за известные организации, становятся все более изощренными и наносят все больший ущерб. Опасность атаки – в многоступенчатой схеме заражения, которую сложно распознать на первый взгляд. Особенно уязвимы сотрудники госструктур и образовательных учреждений, которые могли реально проходить курсы.
Схема начинается с электронного письма с PDF-вложением, о чем предупреждает CERT-UA – правительственная команда реагирования на компьютерные чрезвычайные события Украины. Внутри PDF содержится ссылка на ZIP-архив, а уже в архиве спрятан JavaScript-файл. Как только пользователь запускает этот скрипт – система заражается.
На финальном этапе хакеры могут установить на устройство Cobalt Strike - инструмент для удаленного доступа и полного контроля над компьютером. Это позволяет злоумышленникам шпионить за жертвой, похищать данные и использовать скомпрометированное устройство для дальнейших атак в корпоративной сети.
Для рассылки вредоносных писем злоумышленники часто используют уже скомпрометированные аккаунты украинских организаций. Это означает: письмо может поступить с реального и знакомого адреса, поэтому уровень доверия к нему значительно выше, чем до сообщения от неизвестного отправителя.
Что сделать, чтобы не заразить систему
Специалисты предоставляют конкретные рекомендации по защите. Не открывайте подозрительные вложения – даже если письмо пришло от знакомого отправителя и выглядит как официальное сообщение от реальной платформы. Если есть сомнения – свяжитесь с отправителем отдельным каналом и уточните, действительно ли он посылал это письмо.
Внимательно проверяйте все ссылки в PDF-файлах перед тем, как переходить по ним. Отдельно следует запомнить простое правило: никогда не запускайте .js-файлы, содержащиеся в архивах, полученных по электронной почте. Легитимное программное обеспечение или образовательные платформы никогда не отправляют сертификаты в этом формате.
Фишинг атаковал госструктуры и банки
Фишинговые атаки на украинские учреждения – не новая тактика, однако их методы постоянно усложняются. Недавно мошенники запустили массовую рассылку, имитирующую официальные письма Национального банка Украины. Злоумышленники посылали сообщения по разным адресам якобы от имени НБУ, чтобы заставить получателя загрузить вредоносное программное обеспечение для удаленного доступа к компьютеру. Нацбанк призвал игнорировать такие письма и не открывать никакие вложения.
Специалисты по кибербезопасности фиксируют целый арсенал мошеннических писем – от имитации "срочных запросов от СБУ" до фальшивых сообщений о просроченных договорах. Большинство жертв реагируют на такие письма потому, что боятся подвести коллег или выглядеть некомпетентными, игнорируя "срочный запрос". Детальный список типов мошеннических писем с объяснением, как их распознать, помогает подготовиться заранее.
Следите за нами в Telegram
Сейчас читают на Информаторе
