СНБО наложил санкции на российских создателей фейкового сайта президента Украины
СНБО наложил санкции на российских создателей фейкового сайта президента Украины

СНБО наложил санкции на российских создателей фейкового сайта президента Украины

Государственная служба специальной связи и защиты информации заблокировала мошеннический президентский ресурс на этой неделе / фото ua.depositphotos.com

Совет национальной безопасности и обороны Украины ввел санкции в отношении российского учреждения, создавшего фейковый сайт президента Украины.

Как передает корреспондент УНИАН, об этом секретарь СНБО Алексей Данилов заявил на брифинге после сегодняшнего заседания Совбеза.

Государственная служба специальной связи и защиты информации заблокировала мошеннический президентский ресурс на этой неделе. С помощью сайта распространялось вредоносное программное обеспечение, предназначенное для поиска и эксфильтрации документов.

"Сегодня было принято решение относительно учреждения из Российской Федерации, которое создало дубляж сайта президента Украины. Мы на это учреждение сегодня наложили санкции на заседании СНБО", - сообщил Данилов.

Для чего был нужен фейковый сайт Зеленского

Как сообщали в Госспецсвязи, ссылки на фейковый сайт президента Украины распространялись через фишинговые письма. По информации правительственной команды реагирования на компьютерные чрезвычайные происшествия Украины CERT-UA, с фейкового веб-сайта распространялось вредоносное программное обеспечение OUTSTEEL.

Сайт имитировал официальное интернет-представительство главы государства, однако если пользователь открывал раздел "Полный список высокооплачиваемых вакансий", на его устройство загружался файл "756285df0c8b81cf14ad3463a57d33ed.xll" - вредоносная программа LOADJUMP.

скриншот фейкового сайта, cert.gov.ua
скриншот фейкового сайта, cert.gov.ua

Программа предназначена для загрузки и запуска файлов. В этом случае она обеспечивала соединение с URL-адресом http[:]//1833[.]site/0707a[.] exe, а также загружала и выполняла файл "0707a[.]exe".

Файл является .NET программой, которая обеспечивает декодирование и запуск вредоносной программы OUTSTEEL, что, в свою очередь, осуществляет поиск файлов по определенному перечню расширений (.txt, .7z, .tar, .zip, .rar, .ppa, .pps, .pot, .accdb, .mdb, .dot, .rtf, .csv, .xl, .ppt, .pdf, .doc) и обеспечивает передачу этих данных на сервер управления с использованием протокола HTTP.

Кроме того, в разделе "Вакансии" на фейковом сайте, пытаясь ознакомиться с примерами документов для подачи их на конкурс, пользователь загружает себе документ с произвольным названием формата .doc, содержащий макрос. Код макроса инициирует соединение с URL-адресом http[:]//giraffe-tour[.]ru/123/index[.]exe и обеспечивает загрузку и запуск файла %USERPROFILE%\Documents\differencecell.exe. На момент анализа сервер уже был недоступен.

"Использование подобных тактик, техник и процедур, объектов атаки, а также использованные образцы вредоносных программ отслеживаются по меньшей мере с апреля 2021 года. По состоянию на 15:15 13.07.2021 доступ к веб-сайту заблокирован", - рассказали в CERT-UA.

Вас также могут заинтересовать новости:

  • СНБО вводит санкции против еще девяти украинцев из списка США
  • Данилов призвал не беспокоиться из-за массовой остановки тепловых энергоблоков
  • Карантин в Украине: Кабмин введет дополнительные меры реагирования на новые штаммы COVID-19

Читайте последние новости Украины и мира на канале УНИАН в Telegram

Авторы: Дмитрий Хилюк,Катерина Комолова

Теги по теме
санкции Президент Офис Президента СНБО
Источник материала
Упоминаемые персоны
loader
loader