Шахраї маскують атаки під сертифікати платформи Prometheus - як захиститися
Угруповання UAC-0057 розсилає фішингові листи з PDF-файлами, що ведуть до зараження Cobalt Strike. Що робити, щоб не стати жертвою
Українські держустанови потрапили під нову хвилю кібератак - зловмисники надсилають фішингові листи, замасковані під повідомлення освітньої платформи Prometheus про "успішне завершення курсів" та "згенерований сертифікат". Схожі схеми соціальної інженерії, коли шахраї видають себе за відомі організації, стають дедалі витонченішими і завдають дедалі більших збитків. Небезпека атаки - у багатоступеневій схемі зараження, яку складно розпізнати на перший погляд. Особливо вразливі співробітники держструктур та освітніх закладів, які могли реально проходити курси.
Схема починається з електронного листа з PDF-вкладенням, про що попереджає CERT-UA - Урядова команда реагування на комп'ютерні надзвичайні події України. Усередині PDF міститься посилання на ZIP-архів, а вже в архіві захований JavaScript-файл. Щойно користувач запускає цей скрипт - система заражається.
На фінальному етапі атаки хакери можуть встановити на пристрій Cobalt Strike - інструмент для віддаленого доступу та повного контролю над комп'ютером. Це дає зловмисникам змогу шпигувати за жертвою, викрадати дані та використовувати скомпрометований пристрій для подальших атак у корпоративній мережі.
Для розсилки шкідливих листів зловмисники часто використовують уже скомпрометовані акаунти українських організацій. Це означає: лист може надійти з реальної та знайомої адреси, тому рівень довіри до нього є значно вищим, ніж до повідомлення від невідомого відправника.
Що зробити, щоб не заразити систему
Фахівці надають конкретні рекомендації для захисту. Не відкривайте підозрілі вкладення - навіть якщо лист прийшов від знайомого відправника й виглядає як офіційне повідомлення від реальної платформи. Якщо є сумніви - зв'яжіться з відправником окремим каналом і уточніть, чи справді він надсилав цей лист.
Уважно перевіряйте всі посилання у PDF-файлах перед тим, як переходити за ними. Окремо варто запам'ятати просте правило: ніколи не запускайте .js-файли, що містяться в архівах, отриманих електронною поштою. Легітимне програмне забезпечення або освітні платформи ніколи не надсилають сертифікати у такому форматі.
Фішинг атакував держструктури та банки
Фішингові атаки на українські установи - не нова тактика, проте їхні методи постійно ускладнюються. Нещодавно шахраї запустили масову розсилку, що імітувала офіційні листи Національного банку України. Зловмисники надсилали повідомлення з різних адрес нібито від імені НБУ, щоб змусити отримувача завантажити шкідливе програмне забезпечення для віддаленого доступу до комп'ютера. Нацбанк закликав ігнорувати такі листи та не відкривати жодних вкладень.
Фахівці з кібербезпеки фіксують цілий арсенал шахрайських листів - від імітації "термінових запитів від СБУ" до фальшивих повідомлень про прострочені договори. Більшість жертв реагує на такі листи тому, що бояться підвести колег або виглядати некомпетентними, ігноруючи "терміновий запит". Детальний перелік типів шахрайських листів із поясненням, як їх розпізнати, допомагає підготуватися заздалегідь.
Слідкуйте за нами у Telegram
Зараз читають на Інформаторі
