Хакери атакували організації, що допомагають потерпілим від війни в Україні

Українські державні установи та міжнародні гуманітарні організації стали ціллю нової кібератаки. Зловмисники вдалися до вельми хитрої схеми, що маскувалася під стандартну перевірку безпеки, аби змусити користувачів власноруч інсталювати шкідливе програмне забезпечення. Кампанія, що тривала лише один день, виявилася добре спланованою.

Все починалося з розсилки фішингових електронних листів, замаскованих під офіційні повідомлення від Офісу Президента України. Ці листи містили шкідливі PDF-файли з посиланням на домен, що імітував платформу для відеоконференцій Zoom. Коли потенційна жертва переходила за посиланням, на екрані з'являвся процес автоматичної перевірки браузера, після чого мав би відбутися перехід до конференції.

На цьому етапі для користувача генерувався унікальний ідентифікатор, який надсилався на сервер злочинців. Якщо ідентифікатор збігався з тим, що був у базі хакерів, браузер перенаправляв людину на справжню, захищену паролем Zoom-конференцію. Дослідники припускають, що в такому випадку зловмисники могли в реальному часі застосовувати методи соціальної інженерії, спілкуючись із жертвою напряму.

Однак якщо ідентифікатор не збігався, користувачу пропонували пройти додаткову перевірку безпеки, щоб довести, що він не робот. Це була фейкова CAPTCHA-панель. Інструкції українською мовою пропонували скопіювати "токен" і вставити його в командний рядок Windows. Насправді ж цей "токен" був замаскованою командою PowerShell, яка після виконання завантажувала та запускала шкідливий скрипт. Цей скрипт збирав системні дані: ім'я комп'ютера, інформацію про домен, ім'я користувача, ідентифікатор процесу та UUID системи, відправляючи все на командний сервер хакерів.

Кінцевою метою атаки було встановлення полегшеного трояна віддаленого доступу (RAT) на базі WebSocket. Це шпигунське програмне забезпечення дозволяло зловмисникам віддалено виконувати команди на комп'ютері жертви та викрадати дані.

Хоча SentinelLABS не робить прямої заяви про те, хто стоїть за атакою, дослідники вказують, що троян розміщувався на російській інфраструктурі, пише Bleeping Computer. Крім того, цю кампанію пов'язують з подальшою операцією, спрямованою на користувачів у Львові, де користувачам поширювали шпигунські додатки для Android під виглядом контенту для дорослих або інструментів хмарного сховища. Ці програми діють як шпигуни, відстежуючи місцезнаходження жертви в режимі реального часу, журнали викликів, список контактів та зображення, передаючи їх зловмисникам.