В Украине новая волна вирусной атаки: под прицелом бухгалтерское ПО

Специалисты компании ISSP Labs зафиксировали начало новой волны кибератак с использованием официального сайта компании по разработке комплекса бухгалтерского учета Crystal Finance Millennium

Согласно пресс-релизу компании, при мониторинге вирусной активности была обнаружена рассылка, в которой был идентифицирован интересный образец. Файл с названием “док.zip” загружается вместе с полученным электронным письмом, которое открывает жертва, и является текстовым файлом со скриптом на языке JavaScript. Скрипт является загрузчиком, основная задача которого скачать и запустить исполняемый файл (модуль) load.exe, который становится окном для злоумышленников.

“Этот вредоносный файл собирает информацию о компьютере жертвы и отправляет ее на командные центры злоумышленников. Параллельно с этим, данный файл ждет инструкций от злоумышленников и ожидает команду на установку дополнительных модулей, которые превратят компьютер жертвы в желаемый для хакеров”,— сообщил руководитель ISSP Labs Алексей Ясинский.

Читайте также: Украинцев предупредили о распространении нового интернет-вируса

В пресс-релизе отмечается, что согласно публичной информации, cfm.com.ua — сайт программного комплекса бухгалтерского учета Crystal Finance Millennium. Вероятно, злоумышленники использовали уязвимости сайта для размещения там вредоносных файлов, либо это результат атаки NotPetya 27 июня (злоумышленники оставили для себя возможность несанкционированного входа и теперь им воспользовались).

Компания рекомендует временно заблокировать на файерволах ip-адреса и ссылки, указанные в ее отчете. Среди рекомендаций для пользователей она назвала удаление писем с архивными вложениями с незнакомых и непроверенных адресов, не открывая их.

Источник