Шахраї розсилають email’и від імені Міністерства оборони України

01/09/2014

Фахівцями CERT-UA о 13:27 01.09.2014 отримано інформацію щодо розсилання, начебто, від імені Міністра оборони України електронних листів, які містили у своїй структурі посилання на шкідливе програмне забезпечення.

 

Лист, який приходив користувачам Українського Інтернету, виглядав наступним чином (мал. 1).

 

letter_2

Рис. 1

 

Зауважимо, що в залежності від типу поштового клієнта, який використовується, а також конкретних налаштувань щодо відображення контенту, деякі елементи листа могли виглядіти інакше (мал. 2-3).

 

letter_3

Рис. 2

 

 

letter_mil.gov.ua

Рис. 3

 

Отже, отримавши такий лист CERT-UA було визначено, що шкідливе програмне забезпечення (файл «document.exe») розповсюджується з двох Інтернет-ресурсів, а саме:

 

http://www.paket.lviv.ua [FREEHOST, Україна]

http://diplomail.ru [JUSTHOST.RU, Росія]

 

Завдяки професійним та оперативним діям фахівців компанії ТОВ «Фріхост», доступ до шкідливого програмного забезпечення було заблоковано протягом 3 хвилини (!).

 

Представники ж провайдера JUSTHOST.RU повідомили, що ними вжито заходів з інформування клієнта (тієї людини, якій належить веб-сайт, що, вірогідно, був зломаний та з якого розповсюджується шкідливе програмне забезпечення) і, у разі не вжиття заходів останнім, доступ до ресурсу буде заблоковано 03.09.2014.

 

Разом з тим, саме оперативність важлива при реагуванні на такі інциденти. Пояснимо чому.

 

9:00 за попередніми даними, проведено масоване розсилання електронних листів з посиланнями на шкідливі програми (як раз до початку робочого дня)

10:25 перша потенційна жертва завантажує шкідливу програму

13:27 CERT-UA отримано повідомлення про загрозу

13:39 поінформовано провайдера FREEHOST

13:43 фахівці FREEHOST вжили заходів з видалення шкідливого ПЗ

 

Тобто, шкідлива програма була доступна для завантаження ПІСЛЯ масованого розсилання електронних листів (з 10:25, часу першого завантаження вірусу) і ДО МОМЕНТУ її видалення з веб-ресурсу (13:43). Загалом, період доступності шкідливої програми склав 3 години 18 хвилин.

 

За цей час його встигли завантажити, щонайменше 793 рази.

 

 

Панове системні адміністратори/адміністратори безпеки!

Рекомендуємо здійснити перевірку та визначити, чи була/є мережева активність серед ваших користувачів «у бік» доменів:

 

www.paket.lviv.ua

diplomail.ru

 

 

Про всі випадки отримання таких електронних листів і/або ідентифікації уражених комп’ютерів, просимо обов’язково інформувати CERT-UA.

 

Станом на 21:00 01.09.2014 зазначене шкідливе програмне забезпечення (файл «document.exe», md5: fabe5a029651a4dc0b9319361dc537e6) класифікується як шкідливе лише 4 антивірусами, що може завадити ідентифікації загрози засобами антивірусного захисту.

 

 

ОНОВЛЕННЯ [01.09.2014 22:40]

 

Представники JUSTHOST.RU повідомили про видалення шкідливої програми з веб-сайту diplomail.ru