Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Державній службі спеціального зв’язку та захисту інформації, зафіксувала масове розсилання небезпечних електронних листів, що імітує фінансову документацію. Файл, вкладений у фішингову розсилку, є шкідливою програмою.
Як зазначається на сайті Держспецзв’язку, типовою темою фішингових листів зазначається “Рахунок-фактура”, а файл з назвою “АктЗвiркитарах.фактвiд_12_07_2023.zip”, прикріплений до листа, завантажує шкідливу програму SmokeLoader.
Активність відстежується за ідентифікатором UAC-0006. Раніше CERT-UA повідомляла про аналогічну діяльність цього угрупування. Активність групи UAC-0006 є фінансово мотивованою та здійснювалась від 2013 року по липень 2021 року. У травні 2023 року зловмисники розпочали чергову кампанію атак.
За словами кіберспеціалістів, задум полягає в ураженні бухгалтерських ЕОМ, за допомогою яких здійснюється забезпечення фінансової діяльності; викраденні автентифікаційних даних (логін, пароль, ключ/сертифікат) та створенні несанкціонованих платежів.
Smoke Loader — це завантажувач, здатний завантажувати та встановлювати на заражений комп’ютер додаткові шкідливі програми. Крім цього, завантажувач може красти конфіденційну інформацію, облікові дані для входу в систему та дані кредитної картки, а також виконувати інші шкідливі дії в зараженій системі.
Кіберфахівці підкреслили, що для розповсюдження листів зловмисники використали скомпрометовані облікові записи електронної пошти.