Обережно! Нова кібератака з використанням шкідливої програми
Загальна інформація
Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA виявлено файл "Доповідь_050722_4.ppt", що містить зображення-мініатюру, на якій згадєуться оперативне командування "Південь".
У випадку відкриття документу та активації макросу останній забезпечить створення файлів "gksg023ig.lnk" та "sgegkseg23mjl.exe", а також виконання LNK-файлу за допомогою rundll32.exe, що, в свою чергу, призведе до запуску згаданого EXE-файлу.
Виконуваний файл є .NET-програмою, обфускованою за допомогою ConfuserEx, що здійснює завантаження JPEG-файлу "thumb_d_F3D14F4982A256B5CDAE9BD579429AE7.jpg", пошук відповідного офсету, дешифрування та декомпресію даних і запуск отриманої в результаті .NET-програми MCMDiction.exe (дата компіляції: 2022-07-08).
Надалі, після ряду перетворень (Gzip, AES, base64, XOR), в тому числі, із застосуваннями стеганографії, на комп'ютері буде виконано шкідливу програму-стілер AgentTesla (дата компіляції: 2022-07-06).
Зважаючи на ім'я та контент-приманку PPT-документу, припускаємо, що атаку було спрямовано на державні організації України.
Бухгалтер 911 подчеркивает: содержание авторских материалов может не совпадать с политикой и точкой зрения редакции. Среди авторов материалов, которые публикуются, есть не только представители редакционной команды.
Информация, представленная в конкретной публикации, отражает позицию автора. Редакция не вмешивается в авторские материалы, не редактирует тексты и, следовательно, не несет ответственности за их содержание.
Блоги 
 (1).jpg?v=1710160023)
.jpg?v=1710191819)
.jpg?v=1709910824)