Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA зафіксувала нові кібератаки проти українських оборонних підприємств з використанням тематики закупівель БпЛА.
Схема атаки
Зловмисники надсилають електронний лист із вкладенням у вигляді ZIP-файлу, що містить PDF-документ з посиланням. Жертві пропонується перейти за посиланням, щоб нібито «завантажити відсутні шрифти».
При переході за посиланням на комп’ютер жертви завантажується файл «adobe_acrobat_fonts_pack.exe», що є насправді шкідливою програмою GLUEEGG, призначеною для дешифрування та запуск завантажувача DROPCLUE.
DROPCLUE здійснює завантаження та відкриття на комп’ютері двох файлів: файлу-приманки у форматі PDF, а також EXE-файлу «font-pack-pdf-windows-64-bit», який в кінцевому результаті забезпечує завантаження та встановлення легітимної програми для віддаленого управління ATERA.
В результаті, зловмисники отримують можливість несанкціонованого доступу до комп’ютера жертви.
Як запобігти атаці
Будьте пильними, навіть якщо відправник листа представляється державним працівником.
Не завантажуйте і не відкривайте підозрілі файли.
