Хакери намагаються атакувати українських користувачів через таблиці Excel

Урядова команда реагування на комп’ютерні надзвичайні події України (CERT-UA) виявила нову серію кібератак, націлених на українські установи. Діяльність хакерів спрямована проти військових частин, правоохоронних органів та органів місцевого самоврядування, в першу чергу тих, які розташовані в східних областях України, повідомляє сайт CERT-UA.

Первинна компрометація забезпечується шляхом розповсюдження електронних листів із вкладеннями у вигляді XLS-документів з макросами (розширення “.xlsm”). Назви або теми фішингових листів стосуються питань розмінування території, адміністративних штрафів, виробництва БПЛА, компенсації за зруйноване майно тощо. Користувачу пропонується відкрити вкладення у вигляді файлу Excel. 

В клітинках Excel-таблиці зберігаються base64-кодовані рядки. Цей макрос забезпечує перетворення (декодування) base64-кодованих рядків у виконувані файли, їхнє збереження на комп’ютер без розширення (!) та подальший запуск програми-стілера GIFTEDCROOK.

Написана на C/C++, GIFTEDCROOK полегшує крадіжку конфіденційних даних із веб-браузерів Google Chrome, Microsoft Edge і Mozilla Firefox, таких як файли cookie, історія веб-перегляду та дані автентифікації.

Повідомлення електронної пошти надсилаються зі зламаних облікових записів, щоб надати повідомленням легітимності та обманом змусити потенційних жертв відкрити вкладений файл.