Українців попереджають про масове розсилання небезпечних електронних листів
Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв'язку, повідомила про факти масового розсилання електронних листів із темою «Остаточний платіж» та одноіменним вкладенням у вигляді TGZ-архіву.
Такі шахрайські повідомлення почали фіксувати з 19 липня, повідомили на сайті CERT-UA.
Відкриття присланого архіву призведе до завантаження на комп'ютері шкідливих програм та, як наслідок, викрадення даних.
Атаку пов'язують із угрупованням російських хакерів UAC-0041.
Архів містить EXE-файл, що класифіковано як .NET-даунлоадер RelicRace, призначений для завантаження (здебільшого з OneDrive), декодування та запуску в пам'яті шкідливої .NET-програми RelicSource.
RelicSource функціонально є інсталятором, що забезпечує дешифрування даних, які зберігаються в ресурсах (можливі варіанти: XOR/DES/DES3/AES/ARC2) та запуск (в т.ч. шляхом інжектування) отриманого пейлоаду.
Передбачено декілька способів забезпечення персистентності, імплементовано техніки антианалізу (виявлення VM), а також відправка нотифікацій до Telegram та інше.
Активність має систематичний, масовий та географічно розосереджений характер і відстежується за ідентифікатором UAC-0041.