Правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA, действующая при Государственной службе специальной связи и защиты информации (Госспецсвязи), зафиксировала новые кибератаки против украинских оборонных предприятий, для которых используется тематики закупок БПЛА.

"Для своих целей хакеры используют несколько видов вредоносного программного обеспечения и могут представляться работниками государственных органов для повышения доверия", - сообщается в телеграм-канале.

По данным Госспецсвязи, для установки вредоносного программного обеспечения злоумышленники присылают электронное письмо с вложением в виде ZIP-файла, который содержит PDF-документ со ссылкой. Жертве предлагается перейти по ссылке, чтобы якобы "скачать недостающие шрифты".

Далее при переходе по ссылке на компьютер загружается файл "adobe_acrobat_fonts_pack.exe", который на самом деле является вредоносной программой GLUEEGG, предназначенной для дешифровки и запуск загрузчика DROPCLUE.

DROPCLUE загружает и открывает на компьютере два файла: файл-приманку в формате PDF, а также EX-файл "font-pack-pdf-windows-64-bit", который в конечном итоге обеспечивает загрузку и установку легитимной программы для удаленного управления ATERA.

Вследствие хакеры получают возможность несанкционированного доступа к компьютеру жертвы.

"Вражеская активность отслеживается по идентификатору UAC-0180. Эта группировка активно атакует сотрудников оборонных предприятий и Сил обороны Украины, постоянно обновляя арсенал различных вредоносных программ, но их злонамеренная деятельность не ограничивается Украиной", - отмечают в Госспецсвязи.