Нещодавно стало відомо про розповсюдження нового небезпечного файла, під назвою «Доповідь0507224.ppt». Про це докладає урядова команда реагування на комп’ютерні надзвичайні події України CERT-US, яка діє при Держспецзв’язку.
Даний файл містить в собі зображення-мініатюру, на якій згадується оперативне командування “Південь”. У Держспецзв’язку наголошують: “Відкриття цього файлу та активація макросу може призвести до запуску на комп’ютері шкідливої програми-стілера Agent Tesla, та до викрадення інформації.”
Це насправді так, тому що при відкритті цього небезпечного файла створюються файли “gksg023ig.lnk” та “sgegkseg23mjl.exe”, а також виконання LNK-файлу за допомогою rundll32.exe. Все це призведе до запуску згаданого EXE-файлу.
Виконуваний файл являється NET-програмою та обфускованою за допомогою ConfuserEx, який в свою чергу, здійснює пошук відповідного офсету, завантаження JPEG-файлу “thumb_d_F3D14F4982A256B5CDAE9BD579429AE7.jpg”, дешифрування та декомпресію даних, та запуск отриманої в результаті NET-програми MCMDiction.exe.
Після цих всіх перетворень (AES, Gzip, XOR, base64) із застосуванням стенографії , на комп’ютері буде активовано небезпечну программу-стілер Agent Tesla.
Дивлячись на імя на котент-приманку PPT-документу, фахівці припускають, що ця нова кібератака націлена зокрема на державні організації України.
Слід зазначити, що з початку повномасштабної війни російська федерація нанесла близко 796-ти кібератак проти України , але, як ми бачимо, це ще не кінець.
