Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA 13.07.2023 зафіксовано масову розсилку електронних повідомлень з темою “Рахунок-фактура” та вкладенням у вигляді файлу “Акт_Звiрки_та_рах.факт_вiд_12_07_2023.zip “, що містить VBS-файл “рахунок_вiд_12_07_2023_до_оплати.vbs”, відкриття якого забезпечить завантаження і запуск шкідливої програми SmokeLoader.
Цього разу конфігураційний файл шкідливої програми містить 45 доменних імен, з яких лише 5 на момент аналізу мають A-запис (IP-адреса: 193.106.174[.]173; провайдер @iqhost[.]ru, росія).
14.07.2023 зафіксовано нову хвилю масової розсилки з темою “Дякую рах. додаю” та вкладенням у вигляді архіву “Спісок_счетов_від_14_07_2023р.zip”, що містить три HTML-файли з назвами “UKR_net_рахунки_№418_до_оплати_вiд_14_07_2023_Архив.html”, в якій змінний номер рахунку. Відкриття одного з цих файлів призведе до завантаження виконуваного файлу “рахунки_до_оплати_вiд_14_07_2023_Архив_rar.exe”, запуск якого призведе до ураження комп’ютера шкідливою програмою SmokeLoader.
Конфігураційний файл даного зразку шкідливої програми містить ті самі доменні імена, з яких 5 на момент аналізу мають A-запис (IP-адреса: 193.108.114[.]148; провайдер @ruvds[.]com, росія).
Слід звернути увагу на той факт, що, з метою забезпечення живучості, функціонал SmokeLoader’у передбачає можливість визначення актуальних A-записів для доменних імен шляхом зверення до DNS-серверів сервісу @dnspod[.]com.
Вкотре для розповсюдження листів використано скомпрометовані облікові записи електронної пошти.
Наголошуємо на доцільності обмеження можливості використання користувачами Windows Script Host (wscript.exe, cscript.exe), а також PowerShell.
За матеріалами сайту CERT-UA
Автор публікації
