СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
09.04.2025
#Dev#ИБ

Хакеры распространяют нацеленный на Украину опасный инфостилер через вредоносные файлы Excel

Хакеры распространяют нацеленный на Украину опасный инфостилер через вредоносные файлы Excel

Изображение: recraft

Новая волна кибератак захлестнула Украину — как сообщили специалисты Украинской службы реагирования на компьютерные инциденты (CERT-UA), в зоне риска оказались структуры, обеспечивающие безопасность страны и функционирование местных властей. Целью злоумышленников стали военные части, органы правопорядка и муниципальные администрации, в особенности расположенные неподалёку от восточной границы.

По данным CERT-UA, атаки реализуются через тщательно подготовленные электронные письма с вложениями в формате XLSM — это файлы Excel с активированными макросами. Именно они при открытии запускают цепочку вредоносных процессов.

Среди них — скрипт PowerShell, размещённый на GitHub в репозитории PSSW100AVB («Powershell Scripts With 100% AV Bypass»), и неизвестный ранее шпионский софт, получивший наименование GIFTEDCROOK.

В CERT-UA уточнили, что тематика вложений напрямую перекликается с актуальными и чувствительными вопросами — от разминирования до распределения компенсаций за разрушенное имущество. Таким способом злоумышленники стремятся вызвать доверие и побудить получателей открыть документ. После активации макросов начинается автоматическая установка вредоносных компонентов, о чём пользователь может даже не догадываться.

По информации специалистов, программа GIFTEDCROOK написана на языках C и C++. Её задача — извлечение конфиденциальной информации из популярных браузеров, в том числе Google Chrome, Microsoft Edge и Mozilla Firefox. Она может получить доступ к cookies, истории просмотров и сохранённым паролям.

Отдельно в CERT-UA подчеркнули, что письма часто рассылаются с ранее скомпрометированных учётных записей. Обычно злоумышленники используют привычные веб-интерфейсы почтовых клиентов, чтобы сообщение выглядело правдоподобно и не вызвало подозрений. Именно такой приём, как считают специалисты, увеличивает шанс на то, что потенциальная жертва откроет вложение.

Исследователи отнесли активность к кластеру угроз под условным названием UAC-0226. В то же время CERT-UA отметила, что источник атаки пока не связан ни с одним государством напрямую.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: