Блокування податкових накладних під час воєнного стану
CERT-UA із 19.07.2022 фіксує, що хакери масово розсилають електронні листи з темою «Остаточний платіж» та однойменним вкладенням у вигляді TGZ-архіву.
Архів містить EXE-файл, що класифікували як .NET-даунлоадер RelicRace. Він призначений для завантаження, здебільшого з OneDrive, декодування та запуску в пам’яті шкідливої .NET-програми RelicSource.
Інсталятор RelicSource:
- дешифрує дані, що зберігаються в ресурсах (можливі варіанти: XOR/DES/DES3/AES/ARC2);
- запускає отриманий пейлоад (зокрема, інжектуванням).
Як пейлоад використовують програми-стілери: Formbook та Snake Keylogger (ексфільтрація за допомогою API Telegram).
Хакерська активність має систематичний, масовий та географічно розосереджений характер. Її відстежують за ідентифікатором UAC-0041.
За інформацією Держспецзв’язку
Наші спільний опір, щоденна боротьба наших хлопців та дівчат на передовій і наша надважка робота в тилу приносить свої результати. Ворог знесилений, а ми втримуємо економіку України на гідному рівні, навіть у такі скрутні часи. Тому надаємо вам знижку в 40% для передплати фахових видань «Головбух», «Головбух Агро», «Головбух Медицина», а також до експертно-правової системи «Експертус Головбух» на рік.
Замовляйте доступ онлайн в інтернет-магазині. Якщо потрібно обговорити передплату з вашим менеджером, телефонуйте: 0 800 21 12 20 (дзвінки безплатні). Миру нам. Тримаймо рівень!
