СНБО наложил санкции на российских создателей фейкового сайта президента Украины

Совет национальной безопасности и обороны Украины ввел санкции в отношении российского учреждения, создавшего фейковый сайт президента Украины.

Как передает корреспондент УНИАН, об этом секретарь СНБО Алексей Данилов заявил на брифинге после сегодняшнего заседания Совбеза.

Государственная служба специальной связи и защиты информации заблокировала мошеннический президентский ресурс на этой неделе. С помощью сайта распространялось вредоносное программное обеспечение, предназначенное для поиска и эксфильтрации документов.

"Сегодня было принято решение относительно учреждения из Российской Федерации, которое создало дубляж сайта президента Украины. Мы на это учреждение сегодня наложили санкции на заседании СНБО", - сообщил Данилов.

Для чего был нужен фейковый сайт Зеленского

Как сообщали в Госспецсвязи, ссылки на фейковый сайт президента Украины распространялись через фишинговые письма. По информации правительственной команды реагирования на компьютерные чрезвычайные происшествия Украины CERT-UA, с фейкового веб-сайта распространялось вредоносное программное обеспечение OUTSTEEL.

Сайт имитировал официальное интернет-представительство главы государства, однако если пользователь открывал раздел "Полный список высокооплачиваемых вакансий", на его устройство загружался файл "756285df0c8b81cf14ad3463a57d33ed.xll" - вредоносная программа LOADJUMP.

скриншот фейкового сайта, cert.gov.ua

Программа предназначена для загрузки и запуска файлов. В этом случае она обеспечивала соединение с URL-адресом http[:]//1833[.]site/0707a[.] exe, а также загружала и выполняла файл "0707a[.]exe".

Файл является .NET программой, которая обеспечивает декодирование и запуск вредоносной программы OUTSTEEL, что, в свою очередь, осуществляет поиск файлов по определенному перечню расширений (.txt, .7z, .tar, .zip, .rar, .ppa, .pps, .pot, .accdb, .mdb, .dot, .rtf, .csv, .xl, .ppt, .pdf, .doc) и обеспечивает передачу этих данных на сервер управления с использованием протокола HTTP.

Кроме того, в разделе "Вакансии" на фейковом сайте, пытаясь ознакомиться с примерами документов для подачи их на конкурс, пользователь загружает себе документ с произвольным названием формата .doc, содержащий макрос. Код макроса инициирует соединение с URL-адресом http[:]//giraffe-tour[.]ru/123/index[.]exe и обеспечивает загрузку и запуск файла %USERPROFILE%\Documents\differencecell.exe. На момент анализа сервер уже был недоступен.

"Использование подобных тактик, техник и процедур, объектов атаки, а также использованные образцы вредоносных программ отслеживаются по меньшей мере с апреля 2021 года. По состоянию на 15:15 13.07.2021 доступ к веб-сайту заблокирован", - рассказали в CERT-UA.

Вас также могут заинтересовать новости:

• СНБО вводит санкции против еще девяти украинцев из списка США
• Данилов призвал не беспокоиться из-за массовой остановки тепловых энергоблоков
• Карантин в Украине: Кабмин введет дополнительные меры реагирования на новые штаммы COVID-19

Читайте последние новости Украины и мира на канале УНИАН в Telegram

Авторы: Дмитрий Хилюк,Катерина Комолова