В Украине под видом писем от НАПК опять распространяется опасный банковский вирус

21 марта правительственная команда реагирования на киберинциденты CERT-UA зафиксировала распространение в Украине банковского трояна Ursnif.  

Об этом сообщает InternetUA со ссылкой на пресс-службу CERT-UA.

Как сообщается, 21 марта осуществлялась рассылка сообщений с вредоносным Javascript.

Пример письма с вирусом/CERT-UA

Во вложенном архиве anketa_21_3_2018(4).zip содержится вредоносный Javascript: anketa_21_3_2018 (4).js. Также было обнаружено распространение сообщений с таким Javascript, но вложенных в архив documents(5).zip под названием вредоносного Javascipt documents(5).js соответственно.

В результате анализа установлено, что Javascript с помощью ADODB.Stream записывает поток данных с сайта hxxp://chernilis.win/filename94.bin?ff1 в исполняемый файл по адресу C:\Users\<username>\AppData\Local\Temp\ 62ea.exe. Таким образом, вирус не скачивается явно, а сразу создает вредный исполняемый файл в директории \Temp.

Данный вирус - Ursnif (или Gozi), который используется для кражи данных. Троян упакован и в процессе инициализации инфицирует процесс explorer.exe. В инфицированном коде пропущены некоторые части PE заголовка (MZ, PE) для усложнения анализа.

В CERT-UA рекомендуют организациям принять следующие меры:

– Ограничить возможности пользователей по установке и запуску нежелательных программных приложений для всех систем и служб. Ограничения этих привилегий может предотвратить запуск вредоносных программ;

– Обновить антивирусное программное обеспечение и запустить сканирование;

– Избегать сообщений указанного содержания и предостеречь персонал от запуска данных Javascript-файлов;

– Обеспечить мониторинг сетевого оборудования на факт обращения к подозрительным адресам.

Напомним, в октябре прошлого года наш ресурс уже сообщал, что от имени НАПК распространяется вирус. Тогда рассылка также осуществлялась под видом анкетирования об уровне коррупции в госучреждениях.