В Украине под видом писем от НАПК опять распространяется опасный банковский вирус
21 марта правительственная команда реагирования на киберинциденты CERT-UA зафиксировала распространение в Украине банковского трояна Ursnif.
Об этом сообщает InternetUA со ссылкой на пресс-службу CERT-UA.
Как сообщается, 21 марта осуществлялась рассылка сообщений с вредоносным Javascript.
Пример письма с вирусом/CERT-UA
Во вложенном архиве anketa_21_3_2018(4).zip содержится вредоносный Javascript: anketa_21_3_2018 (4).js. Также было обнаружено распространение сообщений с таким Javascript, но вложенных в архив documents(5).zip под названием вредоносного Javascipt documents(5).js соответственно.
В результате анализа установлено, что Javascript с помощью ADODB.Stream записывает поток данных с сайта hxxp://chernilis.win/filename94.bin?ff1 в исполняемый файл по адресу C:\Users\<username>\AppData\Local\Temp\ 62ea.exe. Таким образом, вирус не скачивается явно, а сразу создает вредный исполняемый файл в директории \Temp.
Данный вирус - Ursnif (или Gozi), который используется для кражи данных. Троян упакован и в процессе инициализации инфицирует процесс explorer.exe. В инфицированном коде пропущены некоторые части PE заголовка (MZ, PE) для усложнения анализа.
В CERT-UA рекомендуют организациям принять следующие меры:
– Ограничить возможности пользователей по установке и запуску нежелательных программных приложений для всех систем и служб. Ограничения этих привилегий может предотвратить запуск вредоносных программ;
– Обновить антивирусное программное обеспечение и запустить сканирование;
– Избегать сообщений указанного содержания и предостеречь персонал от запуска данных Javascript-файлов;
– Обеспечить мониторинг сетевого оборудования на факт обращения к подозрительным адресам.
Напомним, в октябре прошлого года наш ресурс уже сообщал, что от имени НАПК распространяется вирус. Тогда рассылка также осуществлялась под видом анкетирования об уровне коррупции в госучреждениях.