Spilnota Detector Media
Русскій фейк, іді на***!

Новий фішинг нібито від «ПриватБанку»

Лабораторія цифрової безпеки (ЛЦБ) попереджає про розповсюдження нової фішингової кампанії – цього разу зловмисники пишуть від імені «ПриватБанку». Експерти зазначають, що ця кампанія схожа на іншу нещодавню кампанію з фішингу, коли зловмисники представлялися податковою. Фінальний скрипт завантажує і запускає програму для віддаленого керування компʼютером жертви з ОС Windows – NetSupport RAT

Приклад розсилки фішингових листів. Джерело: розсилка ЛЦБ
Архів у фішинговому листі насправді містить зловмисну програму віддаленого керування комп'ютером. Джерело: розсилка ЛЦБ

На думку експертів Лабораторії цифрової безпеки, така кампанія може бути справою рук російського хакерського угруповання UAC-0050, яке фінансується ФСБ. Такі висновки зроблені з огляду на те, що використовується схожа тактика, коли зловмисники надсилають лист нібито від офіційних органів з вкладеним PDF-файлом, що містить посилання на шкідливий файл.

В цій, як і попередній, кампанії нові тактики спрямовані на уникнення виявлення антивірусами та перевірку на пісочниці (де зазвичай аналізують шкідливе програмне забезпечення), а після цього зловмисна програма додає запис в автозапуск системи з метою затирання слідів.

Детальний технічний аналіз попередньої кампанії доступний на сайті Лабораторії цифрової безпеки

Експерти закликають попередити колег і близьких не відкривали такі PDF та не переходили за посиланнями, надісланими у схожих фішингових листах. 

Із перших днів повномасштабного вторгнення експерти «Детектора медіа» щодня протистоять російській дезінформації. Ми спростовуємо фейкові новини, деконструюємо російські наративи та меседжі. І гартуємо медіаграмотність читачів.

Наша команда закликає долучитися до Спільноти «Детектора медіа», щоб разом боротися з російською пропагандою.

Долучитись