/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F0020c4cb0102cb2701f142b2d18c7971.jpg)
Шахраї маскують атаки під сертифікати платформи Prometheus - як захиститися
Українські держустанови потрапили під нову хвилю кібератак - зловмисники надсилають фішингові листи, замасковані під повідомлення освітньої платформи Prometheus про "успішне завершення курсів" та "згенерований сертифікат". Схожі схеми соціальної інженерії, коли шахраї видають себе за відомі організації, стають дедалі витонченішими і завдають дедалі більших збитків. Небезпека атаки - у багатоступеневій схемі зараження, яку складно розпізнати на перший погляд. Особливо вразливі співробітники держструктур та освітніх закладів, які могли реально проходити курси.
Схема починається з електронного листа з PDF-вкладенням, про що попереджає CERT-UA - Урядова команда реагування на комп'ютерні надзвичайні події України. Усередині PDF міститься посилання на ZIP-архів, а вже в архіві захований JavaScript-файл. Щойно користувач запускає цей скрипт - система заражається.
На фінальному етапі атаки хакери можуть встановити на пристрій Cobalt Strike - інструмент для віддаленого доступу та повного контролю над комп'ютером. Це дає зловмисникам змогу шпигувати за жертвою, викрадати дані та використовувати скомпрометований пристрій для подальших атак у корпоративній мережі.
Для розсилки шкідливих листів зловмисники часто використовують уже скомпрометовані акаунти українських організацій. Це означає: лист може надійти з реальної та знайомої адреси, тому рівень довіри до нього є значно вищим, ніж до повідомлення від невідомого відправника.
Що зробити, щоб не заразити систему
Фахівці надають конкретні рекомендації для захисту. Не відкривайте підозрілі вкладення - навіть якщо лист прийшов від знайомого відправника й виглядає як офіційне повідомлення від реальної платформи. Якщо є сумніви - зв'яжіться з відправником окремим каналом і уточніть, чи справді він надсилав цей лист.
Уважно перевіряйте всі посилання у PDF-файлах перед тим, як переходити за ними. Окремо варто запам'ятати просте правило: ніколи не запускайте .js-файли, що містяться в архівах, отриманих електронною поштою. Легітимне програмне забезпечення або освітні платформи ніколи не надсилають сертифікати у такому форматі.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2F09f7e937-ebb5-4267-be2e-b3bf04365b41.jpeg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2F9b84e8a9ce64abfdc8a713d3037534c0.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2F73256f9f8d52f18d2019cd281dd0421d.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F86507628951189857598efc793113d8a.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2F9333a70e85f0fcaee4a309237978f755.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F6d83f3910ef2f28c1f4429ec4d041a19.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2F984a4e2bbfe786a616fee096697081f3.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F33%2F4a681198d6d85b4a53a42539670e5efb.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F28%2F9a4114e631e432bdfa3337d1c47f7a3c)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F1%2F2d01137d1565584e889119e9832e867d.jpg)