Шахрайські електронні листи з посиланнями на віруси

22/09/2014

Протягом вересня 2014 року фахівцями CERT-UA було виявлено численні факти розсилання електронних листів, нібито, від імені державних органів та установ (але не тільки від них), які містили посилання на шкідливий файл.

 

Жертвами таких розсилань (отримувачами шахрайських електронних листів), як правило, є бухгалтери (або керівники підприємств), на комп’ютерах яких встановлені системи типу клієнт-банк або наявний доступ до бухгалтерських програм, наприклад 1C:Бухгалтерия, 1C:Предприятие.

 

За наявною інформацією (на час написання статті) такі масовані розсилання мали місце:

 

1 вересня

5 вересня

9 вересня

10 вересня

15 вересня

22 вересня

 

Зазвичай, для того, щоб спонукати громадян до відкриття шкідливих електронних листів, зловмисники підміняють поле «Від/From» (тобто, відправника електронного листа), а також використовують такі теми (Subject):

 

Від Міноборони України. Обов’язково для ознайомлення

ООО ГК «Содружество». Інформуємо Вас про виконання робіт

Государственная фискальная служба Украины, просим ознакомиться

Просим ознакомиться с документами, налог на недвижимость

Обязательно для ознакомления, документы

Высылаем Вам документы для проверки расчета НДС

Направляем Вам документы для проверки

Государственная фискальная служба, просим ознакомиться с документами

Фискальная служба, высылаем Вам документы

 

З метою обходу СПАМ та інших фільтрів електронних поштових систем зловмисники надсилають не саме шкідливе програмне забезпечення, а посилання, при переході по якому відбувається перенаправлення (redirect) на інший (зазвичай, скомпрометований) веб-сайт і на комп’ютер жертви завантажується шкідлива програма.

 

Шкідливий файл, при його завантаженні, начебто виглядає як документ MS Word або архів WinRAR але має розширення «.exe» (PE32 executable, RAR self-extracting archive). Перелік найбільш розповсюджених імен шкідливих програм (файлів), а також їх md5-суми наведені нижче:

 

doc.exe [8f558e1e02e691d818692d3258249c39]

doc.exe [f5d767197212bd44d2c48bd63b6b7196]

doc.exe [afbb6dbde9eadc578da1513fe1be8727]

document.exe [fabe5a029651a4dc0b9319361dc537e]

 

Приклади шахрайських електронних листів наведено на малюнках 1-4.

 

 fisk

Мал. 1

 

letter_3

 

Мал. 2

 

fisc_2

Мал. 3

 

softserv

 

Мал. 4

 

 

Зважаючи на викладене, з метою мінімізації наслідків від реалізації зазначеної загрози, рекомендуємо:

 

1. Провести інструктаж бухгалтерів/керівників та заборонити відкривати листи, що отримані від невідомих відправників, або містять підозрілий додаток, або містять гіперпосилання у тексті листа.

 

2. У разі отримання таких електронних листів просимо обов’язково надсилати їх вихідний код на email cert@cert.gov.ua. Зауважимо, що з точки зору інциденту інформаційної безпеки важливим є не лише ТЕКСТ електронного листа, а саме його вихідний код (заголовки). Порядок отримання заголовків/вихідного коду електронних листів є різним для різних поштових клієнтів та сервісів.

 

3. Системним адміністраторам рекомендуємо заборонити завантаження файлів з потенційно небезпечним розширенням («.exe», «.scr», «.bin», «.com» та ін.; наведений список не є вичерпним).

 

4. Бути готовими до того, що зловмисники винайдуть інший спосіб введення громадян в оману з метою ураження їхніх комп’ютерів шкідливими програмами.

 

 

Звертаємось до державних органів, установ, організацій, а також засобів масової інформації з проханням надати допомогу в розповсюдженні матеріалів цієї статті.

 

У разі отримання будь-якого підозрілого електронного листа чи додатка до нього просимо негайно інформувати CERT-UA!