У листах користувачам пропонується встановити додаток, який обіцяє надавати актуальну інформацію щодо епідеміологічного стану в світі.Наприклад, при запуску зловмисної програми CoronaMap.exe відображається інформація з онлайн карт щодо поширення коронавірусу, яка розміщена на сайті Університету Джона Хопкінса, а в прихованному режимі ініціюється запуск шкідливого програмного забезпечення, відомого як AZORult.
AZORult – шкідливе програмне забезпечення (далі – ШПЗ) типу «троянський кінь», призначене для збору різноманітної конфіденційної інформації користувача, такої як дані з месенджерів та браузерів, в тому числі файли cookie, ідентифікатори користувачів та пристроїв, паролі та інформація, що пов’язана з інтернет-банкінгом чи криптовалютами. Для ідентифікації при з’єднанні з командно-контрольним сервером використовуються дані про інфікований пристрій.
В України вже є інциденти пов’язані з даним способом отримання несанкціонованого доступу до інформації користувачів, способи розповсюдження, вектори зараження та методологію роботи шпигунського програмного забезпечення.
Встановлено, що зловмисники поширюють дане програмне забезпечення за допомогою розсилки спам-повідомлень на електронні скриньки. Електронні листи зазвичай містять оманливий текст, що спонукає користувачів відкрити вкладені файли (наприклад – актуальна інформація, щодо розповсюдження коронавірусу в світі). Після завантаження та запуску вкладення користувачем виконується певний перелік команд, що дає змогу AZORult бути виконаним на цільовій системі.
Звертаємо увагу на те, що подібний підхід може використовуватись для розвідки, викрадення даних чи реалізації інших атак.
Механізм ураження системи ускладнює видалення шпигунського програмного забезпечення з інфікованих пристроїв, через що доцільніше відновити систему з резервної копії.
Що робити?
Встановити відображення електронних листів у форматі «звичайний текст», без вкладень чи активних елементів.
Одразу видаляти підозрілі листи, не переходити за невідомими посиланнями.
Не завантажувати та не запускати додатки з листів, які ви не очікували отримати.
Перевіряти підозрілі файли на VirusTotal.
Не встановлюйте програмне забезпечення з невідомих чи неперевірених ресурсів.
Корисні посилання:
Основні правила кібергігієни: https://cert.gov.ua/recommendations/21
Як розпізнати фейк?: https://cert.gov.ua/recommendations/22
Загальні рекомендації Державного центру кіберзахисту та протидії кіберзагрозам Держспецзв’язку для підвищення рівня захисту інформаційних ресурсів та систем і для запобігання кіберінцидентам в установах, на підприємствах і в організаціях: https://cert.gov.ua/files/pdf/Rec0301.pdf